Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
A Sophos Whitepaper June 2018
Não caia no IscoPhishing é um grande negócio. Não seja apanhado.
No último ano, ataques de phishing tiveram uma ascensão meteórica com os hackers a continuar a refinar as suas táticas de ataque e partilhar diversos tipos de ataques bem-sucedidos. Em particular, eles aproveitaram as ofertas de malware-as-a-service na “dark web” para aumentar a eficiência e o volume de ataques. De fato, 41% das organizações reportam ataques de phishing.¹
Neste documento, vamos aprofundar a evolução do phishing nos últimos anos, como funciona, e o que parece. À medida que os cibercriminosos continuam a atacar os funcionários através da sua tecnologia, argumentamos a favor da importância de uma defesa por camadas de contra-ataques de phishing: combinação de tecnologias avançadas de segurança com funcionários instruídos e conscientes sobre phishing.
Não caia no Isco
2A Sophos Whitepaper June 2018
Mais do que spam irritanteTradicionalmente o phishing estava associado ao crime de online banking: o atacante envia
um email com objetivo de atrair o utilizador para um website malicioso, um clone do banco
online que utilizador que é alvo do ataque costuma usar, onde irá inserir credenciais num
formulário falso e assim colocando informações confidenciais nas mãos dos criminosos.
Mas o phishing abrange muito mais que falsos sites de Bancos e links para venda
de medicamentos milagrosos que melhoram a sua vida ou entrega de encomendas:
são apenas um isco pendurado à sua frente à espera que o morda, fornecendo-lhes
informações uteis e valiosas.
Phishing é um grande negócioNos últimos anos, o volume de ataques de phishing cresceu dramaticamente, alimentado
pelos serviços da “dark web” como os kits de phishing-as-a-service. Tornou-se
incrivelmente simples, mesmo para o criminoso com menos capacidades técnicas, usar
malware avançado que foram produzidos por alguém muito mais experiente que eles.
Como resultado, ataques de phishing são agora regulares e fazem parte do nosso
quotidiano. 41% dos profissionais de IT reportam que as suas experiências nas suas
organizações são de ataques diários de phishing, enquanto mais de três quartos (77%)
sofrem ataques todos os meses.3
Frequência de ataques de phishing
6%Mensal
15%Raramente
5%Nunca
3%Não sabe
Bisemanal 5%
Semanal 26%
Diária 32%
Horária 9%
A principal força por de trás de ataques de phishing é a recompensa financeira. O
relatório da investigação da violação de dados Verizon 2018 Data Breach Investigations
revela que:
Ì 59% dos ataques são motivados por ganhos financeiros. Isto inclui a coleta de
credenciais para revenda na ‘’dark web”, infetando sistemas com ransomware, ou a
impersonalização de gestores para convencer os funcionários a transferir fundos ou
dados valiosos.
Ì 41% dos ataques ambiciona obter dados de acessos não autorizados. Exemplos
incluem a obtenção do acesso à rede da empresa para roubar dados, ou ganhar controlo
sobre os sistemas.
93%of data breaches include phishing2
Não caia no Isco
3A Sophos Whitepaper June 2018
Dadas as motivações financeiras por de trás da maioria dos ataques, não é surpreendente
que os Cibercriminosos têm muitas vezes como alvo os funcionários que têm acesso às
finanças da empresa, aliciando-os a fazer transferências financeiras para contas bancárias
controladas pelos criminosos. No entanto, também têm como alvo aqueles que gerem
processos do negócio e controlos de IT, abrindo as organizações a uma variedade de
ataques incluindo ransomware e extorsão.4
Departamentos com maior alvo para ataques de phishing
18%
Operações 16%
Compras 15%
Marketing/Promoções 15%
Serviço de apoio ao cliente
Recursos Humanos
22%Vendas
23%IT
40%Administrativo e Gestão
58%Contabilidade e Finanças
Pesquisa e Desenvolvimento
Produção
Distribuição
Não sabe
Legal
6%
6%
3%
14%
8%
15%
Aumento da Eficiência e produtividadeAtualmente, 89% dos ataques de phishing são realizados por crime organizado. Como o
phishing é gerido como um negócio, estratégias de ataque evoluíram de forma a que todos
nós, nos identificamos: como tornar o meu trabalho mais fácil e trabalhar de forma mais
eficiente? Como posso crescer para aumentar o lucro?
Isto levou a um aumento de métodos de distribuição de ataques, com kits de phishing, e
novas formas de ataques como Business Email Compromise (BEC) que procuram como
alvo ativos de elevado valor via engenharia social.
Kits gratuitos de phishing Alguma vez quis que os seus produtos vendessem como o último iPhone? Para a maioria
de nós, se vemos uma ideia que funciona bem – de um amigo, colega ou concorrente –
ficamos tentados a ‘’emprestar’’ a ideia para nós próprios, certo? Bem, a comunidade de
phishing não é diferente. Atualmente, é extremamente organizada.
Uma faceta interessante do ecossistema de phishing é que existem um grande número
de atores a praticar ataques, mas apenas um pequeno número de phishers que são
sofisticados o suficiente para escrever o kit de phishing do zero. Por causa disto, kits de
phishing estão disponíveis para download em fóruns na “dark web” e mercados negros, e
dão aos atacantes todas as ferramentas para criar ataques lucrativos: emails, códigos de
paginas web, imagens, e muito mais.
89%Dos ataques de phishing são elaborados por profissionais de crime organizado
Não caia no Isco
4A Sophos Whitepaper June 2018
Os autores dos Kits procuram lucrar distribuindo os seus kits a utilizadores com menos
conhecimentos técnicos, e ganham dinheiro de duas maneiras: oferecem kits gratuitos que
contêm backdoors para o autor recolher qualquer dado recolhido pelo remetente, ou vender
kits para obter lucro. Os kits com preços mais elevados contêm agora atributos como
painéis de controle para verificar o sucesso da(s) campanha(s).
Ataques-as-a-service Na verdade, os atacantes nem precisam saber como criar malware ou enviar emails. As
soluções as-service e pay-as-you go permeiam a maioria das tecnologias de serviço online,
e o phishing não é diferente – com uma gama de serviços cada vez mais disponíveis para
os atacantes:
Ì Ransomware-as-a-service permite que um utilizador crie uma conta online e preencha
um formulário, incluindo um preço de resgate inicial e um valor para um pagamento
atrasado às vítimas. O provedor do serviço recebe uma parte por cada resgate pago,
com descontos oferecidos se o utilizador conseguir traduzir o código de malware para
novos idiomas ou se o volume do ataque exceder um certo nível.
Satan ransomware - um serviço online que permite os criminosos criar o seu próprio vírus em minutos e começar a infetar sistemas Windows.
Ì Phishing-as-a-service permite que os utilizadores paguem para ataques de phishing
serem enviados por eles, usando botnets para evitar assim dodgy IP ranges. As
garantias até são feitas para cobrar apenas utilizadores que receberam o email, da
mesma forma que qualquer serviço legitimo de marketing por email.
Exemplo de serviço de envio de spam – preço por email enviado para uma Caixa de correio ativa, com rastreamento disponível até para taxa de cliques.
Estes serviços levaram à explosão de ataques de phishing destacados anteriormente, já
que qualquer invasor pode iniciar um ataque independentemente da competência técnica.
Não caia no Isco
5A Sophos Whitepaper June 2018
Como o marketing, apenas seis vezes melhorO mais preocupante de tudo, estes serviços de “dark web” libertaram o tempo dos
atacantes para se concentrarem em refinar as suas campanhas e aperfeiçoar as suas
capacidades maliciosas.
E as suas táticas permitem que eles alcancem o tipo de resultados que a maioria das
equipas de vendas e marketing teria inveja, com os emails de phishing atualmente a serem
clicados 6 vezes mais que emails comuns de marketing tradicional.5
Taxa de cliques de Email de Phishing
Gestão3.51%
Phishing14%
Consumidor 2.4%
6x
Uma nova pesquisa demostra que phishing é classificado com uma das principais
ameaças. Os ataques de Business Email Compromise (BEC) estão em ascensão – um
perigoso subconjunto de ataques de phishing que permitem aos atacantes expandir as
áreas de lucro, visando agora alvos corporativos de valor elevado.
Como funciona o phishingComo mencionado, phishing abrange mais que apenas falsos emails bancários e alertas
de entregas de encomendas. Trata-se de convencer alguém a fornecer algo valioso aos
atacantes. E o que começou como um simples “phishing” desenvolveu-se agora para 3
tipos de ataques: os clássicos, phishing em massa e spear phishing, e Business Email
Compromise, subgrupo de spear phishing.
Phishing em massaEstes ataques são em grande parte oportunistas, aproveitando o nome da marca de uma
empresa para tentar atrair os clientes da marca para sites falsos onde são levados a usar
informações de cartão de crédito, credenciais de login, e outras informações pessoais que
serão revendidas posteriormente para obter ganhos financeiros.
Ì Ter como alvo os ativos de indivíduos
Ì Normalmente os consumidores de uma marca de produtos ou serviços
Ì Agrupar todos as leads e enviar o mesmo email para todos, independentemente de
seus interesses
Ì Focados em roubar dados pessoais, como credenciais de login
$3.1BDe perdas de ataques BEC em 2016
Não caia no Isco
6A Sophos Whitepaper June 2018
Um exemplo típico de phishing em massa 'verifique a sua conta'
Spear phishing O outro tipo de ameaça é a de spear phishing, onde são enviados emails personalizados
fazendo-se passar por um remetente específico ou uma fonte confiável, são enviados
para determinados colaboradores dentro das organizações para tentar fazer com que eles
realizem determinadas ações, como enviar dinheiro para contas falsas.
Ì Ter como alvo os ativos de uma organização específica
Ì Tipicamente um individuo ou um grupo especifico na organização
Ì Endereços de email falsificados (semelhantes)
Ì Usar uma falsa identidade, com por exemplo: CEOs, Executivos seniores.
Emails genuinos e de phishing são muitas vezes similares, como se pode ver neste exemplo de licença de TV inglesa.
Ataques de spear phishing são cada vez mais comuns e cibercriminosos continuam
a aperfeiçoar as suas técnicas de forma a aumentar a sua eficácia. Numa pesquisa
recente de 330 profissionais de IT, 55% confirmaram que os seus gestores seniores foram
representados em ataques de spear phishing.6
Subgrupos mais segmentados de spear phishing usam a engenharia social para recolher
informações de determinamos alvos e aumentar a dificuldade de reconhecimento de
ataque. São conhecidos como CEO Fraud, Whaling, e mais recentemente, Business Email
Compromise (BEC).
Não caia no Isco
7A Sophos Whitepaper June 2018
Business Email CompromiseOs ataques de Business Email Compromise são assim chamados porque estão associados
a contas de email de funcionários que serão comprometidas em vez de o endereço do
remetente ser falsificado. Isto torna os ataques muito mais difíceis de detetar pelos
utilizadores finais.
Ì Ter como alvo informação corporativa, acesso a credenciais, ou fundos de uma empresa
Ì Depois dos atacantes escolherem uma organização, eles localizam colaboradores
dessa empresa para serem alvo de ataque, reunindo dados de sites como Facebook e
LinkedIn de forma a criar emails de phishing altamente direcionados e confiáveis
Ì O atacante então isola esse individuo fazendo com que a mensagem de email pareça
ser de um executivo como um CEO e adicionará urgência na resposta, geralmente
enviando mensagens no final do dia ou semana
Ao contrário das campanhas em massa ou do spear phishing, estes ataques têm como
alvo os fundos de uma empresa. E ao contrário de ataques de anos anteriores que
forneceriam dados de contas bancárias de destino a possíveis vítimas em anexos PDF, os
ataques do BEC retêm essas informações até que tenham uma resposta positiva enviada
pela vítima. Afinal de contas, uma conta fraudulenta será a maior despesa do atacante, por
isso é um ativo importante a proteger já que pode ser fornecido às autoridades se a vítima
percebesse o truque desde o início.
Os ataques BEC são mais difíceis de detetar pois os atacantes comprometem as contas
de email corporativas para o envio. Na verdade, os números mais recentes do FBI mostram
que um número impressionante de empresas caíram neste tipo de ataques, com perdas
em 2016 que atingiram $3.1 biliões em 22.000 empresas.
Descubra os sinaisEntão, aquelas faturas falsas que dizem que alguém comprou um bilhete de avião com o
seu cartão de crédito, e pedem por favor para abrir o documento em anexo para detalhes se
quiser contestar o pagamento? Isto é phishing em massa.
Outro exemplo, são aqueles emails falsos que dizem para confirmar o endereço da sua
empresa para que lhe seja enviada uma encomenda que não chegou a ser entregue.
Spear phishing, na sua maioria, é basicamente a mesma coisa, exceto que o isco é mais
específico. Ou, no caso dos ataques BEC, a mensagem pode não conter links ou anexos
maliciosos, mas sim solicitar a transferência de fundos, fazendo com que o ataque pareça
mais convincente.
Simplificando, se um email fraudulento começar como “Prezado cliente,” é phishing. Mas se
a saudação for com o seu nome é spear phishing. E se é a partir do email do seu chefe é um
ataque Business Email Compromise (BEC).
Naturalmente, muitos dos ataques de spear phishing são muito mais objetivos que isso.
Vigaristas, bem preparados. podem saber o título da sua função, o número da sua extensão,
o restaurante onde costuma almoçar, os amigos com quem convive, o nome do seu chefe,
o nome do seu chefe anterior, e até mesmo o nome do fornecedor de café da sua empresa.
E, como pode imaginar, quando se trata de spear phishing, nada gera o sucesso como o
sucesso. Quanto mais criminosos, cybergangs, ou equipas de patrocinadores souberem da
sua empresa, mais credíveis serão as suas tentativas de phishing.
30%Dos emails de phishing são abertos
$140KPerda média por fraude
Não caia no Isco
8A Sophos Whitepaper June 2018
Esta informação pode ser adquirida de diversas formas, incluindo:
Ì Ataques anteriores bem-sucedidos, como o roubo de dados usando malware
Ì Documentos privados da empresa, como listas telefónicas ou organigramas que
aparecem em mecanismos de busca
Ì Páginas pessoais e de rede social da empresa
Ì Ex funcionários descontentes
Ì Dados comprados de outros criminosos na “dark web”
Pode provavelmente pensar em muitas outras maneiras pelas quais as informações
‘’secretas’’ podem tornar-se tudo menos secretas. O fundamental é que entender estas
táticas pode evitar a abertura de mais de 30% de emails de phishing que são abertos hoje
em dia.
A luta contra o phishingOs ataques de Phishing ocorrem em todos os formatos e tamanhos, e infelizmente não
há nenhuma solução para impedir o phishing. Deve ser usada um defesa com múltiplas
camadas contra-ataques de phishing, combinado com tecnologias de segurança
avançadas e funcionários treinados e conscientes de phishing. Na Sophos, recomendamos
que todas as organizações adotem uma abordagem tripla:
VISIBILIDADE E EDUCAÇÃO SIMULAÇÃO DE PHISHING E FORMAÇÃO
PRÉ ENTREGA SECURE EMAIL GATEWAY
PÓS ENTREGA PRODUÇÃO DE ENDPOINT
WHAT HOW
1. Visibilidade e Educação
Na luta contra o phishing, os utilizadores são o elo mais fraco. Na verdade, leva em média
apenas 16 minutos para alguém clicar num email de phishing [Fonte: Verizon 2018 Data
Breach Investigation Report].
Ì Com os utilizadores na linha da frente dos ataques de phishing, é fundamental
consciencializar e formar as pessoas de como identificar e evitar emails de phishing.
Existem 3 etapas para uma simulação efetiva de phishing e um programa de formação:
TESTSend simulated phishing emails
emulating real-life tactics to test user awareness
TRAINEducate users on how to spot
and stop the real thing
MEASURETrack progress and improvement
to demonstrate RoI and guide further training
Não caia no Isco
9A Sophos Whitepaper June 2018
2. Pré-Entrega
58% dos emails é spam e 77% de todos os spams contêm um ficheiro malicioso6. Como
resultado, um gateway de email seguro é um elemento essencial na luta contra o phishing,
parar emails de phishing antes que eles entrem na sua caixa de entrada. As principais
tecnologias a procurar incluem:
Ì Anti-spam: Poderosas armadilhas de spam por todo o mundo, impedem que os emails
cheguem aos utilizadores.
Ì Reputação do remetente: filtragem de reputação de IP para bloquear emails
indesejados no gateway.
Ì Autenticação do remetente: Deteta falsificação do remetente, anomalias no cabeçalho,
e suspeitas do conteúdo do corpo do email.
Ì Sandboxing: Deteta ficheiros suspeitos fora da rede.
Ì Bloqueio de URLs maliciosos: Filtro de links maliciosos.
3. Pós-Entrega
Ì Pós-entrega é a linha final de defesa, protege a sua organização se um utilizador clicar
num link malicioso ou abrir um anexo infetado. Procure uma solução de segurança de endpoint que ofereça técnicas fundamentais e modernas que incluem:
Ì Deep learning: Bloqueia ameaças desconhecidas de entrarem na organização.
Ì Anti-exploit: impede que os atacantes explorem vulnerabilidades em softwares
legítimos.
Ì Anti-ransomware: Para encriptação não autorizada dos ficheiros da sua empresa.
Como Sophos pode ajudarSophos é o único fabricante que oferece uma proteção completa de phishing – visibilidade
e educação, pré-entrega, e pós-entrega – tudo gerido numa única plataforma web.
VISIBILITY AND EDUCATION PHISHING SIMULATION AND TRAINING
PRE-DELIVERY SECURE EMAIL GATEWAY
POST-DELIVERY ENDPOINT PRODUCTION
WHAT HOW
SOPHOS PHISH THREAT
SOPHOS EMAIL
SOPHOS INTERCEPT X
SOPHOS SOLUTION
Não caia no Isco
10A Sophos Whitepaper June 2018
Sophos Phish Threat educa e testa os utilizadores finais por meio de simulações
automáticas, formação de conciliação de segurança e métricas de relatórios mensuráveis.
E funciona: em média, os clientes vêm uma redução de 31% na suscetibilidade dos
funcionários após apenas 4 emails de formação de Phish Threat . Saiba mais e teste você
mesmo em www.sophos.com/phish-threat.
Com Sophos Email, pode confiar na sua Inbox outra vez. Bloqueia os impostores de
phishing e protege os funcionários de ataques que usam endereços de email fraudulentos
que representam contatos confiáveis. Uma combinação de técnicas de autenticação de
SPF, DKIM, e DMARC e analise de cabeçalho de email permite identificar e permitir emails
legítimos enquanto bloqueia impostores. Saiba mais e faça o teste em www.sophos.com/
email.
Sophos Intercept X combina uma ampla gama de técnicas básicas e modernas (next-
gen) à mais ampla gama de ataques de ransomware e malware. A sua rede neural de
deep learning está preparado para em centenas de milhões de ficheiros maliciosos
proactivamente detetar ameaças desconhecidas. Veja você mesmo em www.sophos.com/
intercept-x
Único em Sophos, pode gerir todas as tecnologias de prevenção numa única plataforma
WEB, Sophos Central:
Ì Poupe tempo esforço, através da gestão de todos os produtos em única consola
Ì Baseada em web, portanto, não necessita de servidores para gerir
Ì Acesso a qualquer hora, em qualquer lugar
Ì Produtos são ativamente projetados para trabalhar em conjunto –sem necessitar de
esforço extra para que tudo funcione em harmonia.
Comece com um produto e depois adicione outros quando estiver pronto.
31%reduction in employee susceptibility with Sophos Phish Threat
Não caia no Isco
United Kingdom and Worldwide SalesTel: +44 (0)8447 671131Email: [email protected]
North American SalesToll Free: 1-866-866-2802Email: [email protected]
Australia and New Zealand SalesTel: +61 2 9409 9100Email: [email protected]
Asia SalesTel: +65 62244168Email: [email protected]
© Copyright 2018. Sophos Ltd. All rights reserved.Registered in England and Wales No. 2096520, The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, UKSophos is the registered trademark of Sophos Ltd. All other product and company names mentioned are trademarks or registered trademarks of their respective owners.
2018-05-31 WP-UK (3017-DD)
1, 3, 4, 6 Fonte: Phishing Temperature Check, Freeform Dynamics in association with The Register and Sophos, 2017
2 Fonte: Verizon 2018 Data Breach Investigations Report
5 Fonte: Verizon 2016 DBIR & Experian Email Benchmark Report Q4 2016
6 Fonte: SophosLabs, 2017
Dez sinais de PhishingOs “contos” que deve procurar para o ajudar a encontrar ameaças potenciais.
1. Simplesmente não parece certo. Há algo fora do comum com uma mensagem de
email particular? Parece bom demais para ser verdade? Confie nos seus instintos.
2. Saudações genéricas. Em vez de se dirigir diretamente a si, emails de phishing
geralmente usam nomes genéricos como “Caro cliente.” Estas saudações
impessoais poupam o tempo dos cibercriminosos.
3. Links para sites oficiais que pedem para inserir dados confidenciais. Estes sites
falsos são muito convincentes, portanto fique atento a qualquer informação pessoal
ou confidencial que lhe pedem para revelar.
4. Emails inesperados que usam informação especificas sobre si. Informações como
cargos, empregos anteriores, ou interesses pessoais podem ser obtidos em sites de
rede social como LinkedIn e são usados para tornar o email de phishing convincente.
5. Enfraquecer palavras. Ladrões usam normalmente palavras enervantes (como dizer
que a sua conta foi violada) para o induzir a movimentar-se rapidamente sem pensar
e ao fazê-lo, revelar informações que normalmente não o faria.
6. Má gramática ou ortografia. Isto é normalmente uma oferta inoperante. Sintaxe
incomum é um sinal que alguma coisa está errada.
7. Senso de urgência. “Se não responder dentro de 48 horas, a sua conta será
encerrada.” Ao criar um senso de urgência, os ladrões esperam que cometa um erro.
8. “Ganhou o grande premio!” Estes emails de phishing são comuns, mas fáceis
de detetar. Um similar, uma variação mais complicada pede que complete um
questionário (dando assim as suas informações pessoais) em troca de um prémio.
9. “Verifique a sua conta.” Estas mensagens falsificam emails reais e pedem que
verifique a sua conta. Procure sempre por sinais de phishing, e sempre se questione
porque está a ser pedido para verificar – existe uma boa hipótese de ser uma fraude.
10. Cybersquatting. Muitas vezes, cibercriminosos irão comprar e “squat” em nomes de
websites que são similares aos oficiais na esperança que os utilizadores aceda de
forma errado ex. www.google.com vs. www.g00gle.com. Tire sempre um momento
para verificar a URL antes de inserir as suas informações pessoais.
Para mais dicas e ferramentas para parar o phishing, visite www.sophos.com/prevent-
phishing