WHITE PAPER

O phishing não está mais

somente em e-mails:

ele está nas redes sociais

1O phishing não está mais somente em e-mails: ele está nas redes sociais

Resumo executivoApesar de anos de publicidade e milhões de dólares em treinamento de funcionários, o phishing continua sendo a maior ameaça interna que as organizações enfrentam.1 Dentre as violações de segurança de TI, 93% são resultados diretos de alguma forma de phishing2 e 34% de todos os ataques de phishing visam explicitamente as empresas.3 Funcionários fornecem inconscientemente informações pessoais e corporativas a agentes mal-intencionados, todos os dias.

E, agora, os invasores estão ampliando suas redes.

Não mais se limitando a e-mails, os criminosos estão explorando redes de mídias sociais populares, aplicações de mensagens instantâneas e serviços de compartilhamento de arquivos on-line. Facebook, Slack, Microsoft Teams, Dropbox, Documentos Google e outras plataformas populares estão atuando como o ponto inicial de invasão dos criminosos na empresa. Esses canais são muito mais pessoais; eles estimulam o compartilhamento e a distribuição ampla. Dessa forma, o phishing consegue se propagar exponencialmente.

Um conjunto de credenciais roubadas é tudo de que um criminoso precisa para acessar a rede corporativa, onde ele pode, então, mover-se lateralmente para encontrar e exfiltrar dados preciosos de uma empresa.

Os controles tradicionais de segurança corporativa têm capacidade limitada para reduzir esses riscos. Os funcionários são móveis e distribuídos. Eles podem acessar contas pessoais de e-mail e de redes sociais a partir de seus dispositivos de trabalho, com apenas um pequeno monitoramento dos departamentos de TI. Quando acessam aplicações sociais em dispositivos móveis, eles estão fora da esfera de governança da empresa.

A vigilância, infelizmente, tem um limite. Assim que os profissionais de segurança impedem um tipo de ataque de phishing, outro aparece. É um jogo de gato e rato, e os criminosos são sofisticados, pacientes e focados. Eles sempre procuram maneiras de despistar as defesas de segurança existentes da empresa.

Para piorar a situação, os agentes mal-intencionados podem comprar facilmente em websites clandestinos kits de phishing prontos para uso. Esses kits de ferramentas oferecem aos golpistas tudo de que eles precisam para criar rapidamente páginas Web falsas e lançar campanhas malignas por e-mail e canais sociais. Tudo isso visando invadir a rede corporativa.

Além disso, mais e-mails de phishing estão passando pelos sistemas de segurança de e-mails corporativos.4 Embora seja provável que a maioria das empresas modernas tenha proteções em vigor, esses gateways e filtros estão longe de serem perfeitos. Independentemente de sua eficiência, confiar em uma única camada de defesa contra tais ataques desenfreados não é uma prática recomendada.

Ontem

Hoje

2O phishing não está mais somente em e-mails: ele está nas redes sociais

Diante desses desafios, as empresas de hoje precisam de uma nova abordagem para a segurança corporativa. Isto é, uma mentalidade Zero Trust: não confie em nada, verifique tudo e mantenha os controles consistentes. Cada solicitação de acesso deve ser autenticada e autorizada e somente concedida de forma transitória.

A proteção avançada contra ameaças baseada em nuvem e em tempo real é fundamental para essa transformação da segurança. Ela permitirá que a empresa acompanhe o cenário atual de ameaças em constante evolução, incluindo os fenômenos de phishing em redes sociais, apresentados neste white paper.

O impacto comercial do phishingOrganizações de todo o mundo relatam que esquemas de phishing são a principal fonte de violações de segurança corporativa. Dentre as violações, 93% são resultados diretos de alguma forma de phishing.5

A presença e a eficácia do phishing são impressionantes:

• Um em cada 99 e-mails é um ataque de phishing que utiliza links e anexos maliciosos como o principal vetor6

• Dos ataques de e-mail bem-sucedidos, 52% fazem com que suas vítimas deem um clique em até uma hora e 30%, em 10 minutos7

• Cerca de 1,5 milhão de novos websites de phishing são criados a cada mês8

• Dos profissionais da InfoSec, 83% sofreram ataques de phishing em 20189

Isso não deve surpreender. Se você é um criminoso virtual, é muito mais fácil fazer login na rede corporativa com informações roubadas de um funcionário do que hackear uma empresa. Apenas um conjunto de credenciais comprometidas é tudo de que um invasor precisa para conseguir acesso e entrar na rede. Essa entrada inicial rapidamente leva à movimentação lateral, à identificação dos recursos mais valiosos e, por fim, à exfiltração.

E o impacto é considerável:

• O custo médio de um ataque de phishing em uma empresa de médio porte é de US$ 1,6 milhão10

• Um a cada três clientes deixará de fazer negócios com uma empresa que enfrenta uma violação de segurança virtual11

3O phishing não está mais somente em e-mails: ele está nas redes sociais

Phishing em redes sociais: moldagem de uma rede mais amplaRedes sociais, aplicações de mensagens e serviços de compartilhamento de arquivos dependem de algum nível de confiança. Isso transforma as mídias sociais em vetores de ataque ideais. Agentes mal-intencionados aproveitam a confiança visível e a comunidade dessas plataformas, induzindo os usuários a difundir conteúdo malicioso. O número de golpes de phishing em mídias sociais foi superior a 70% no primeiro trimestre de 2019.12

Uma prática comum no ciclo de vida de um golpe de phishing é incluir uma etapa em que a vítima deve compartilhar um link (o URL do website falso ou comprometido) em suas redes sociais. Quando o link vem de um contato conhecido ou de boa reputação, as conexões sociais da vítima entram rapidamente no esquema. E a confiança equivocada em um destino cibernético perigoso se propaga.

No white paper "Uma nova era no phishing: jogos, redes sociais e prêmios" (A New Era in Phishing: Games, Social, and Prizes), o pesquisador de segurança da Akamai, Or Katz, analisou como as campanhas de phishing em redes sociais aproveitam concursos e recompensas para entregar links maliciosos.13 Prêmios fraudulentos e promoções falsas disfarçadas de oportunidades legítimas incentivam ainda mais a distribuição, criando ambientes que levam os alvos a divulgarem informações pessoais e corporativas.

À medida que os canais sociais crescem em número e popularidade, os autores de ameaças têm mais maneiras de alcançar as vítimas.

A Forbes informa que os criminosos agora usam serviços de mensagens instantâneas, como Slack, Skype, Microsoft Teams e Facebook Messenger, para adquirir novas vítimas e ampliar suas campanhas.14 Esses esquemas com foco social usam muitos métodos parecidos com o phishing de e-mail, tais como falsificação, aproveitamento de confiança implícita e links maliciosos, mas são entregues por meio dessas plataformas de comunicação de última geração.

De acordo com a CSO, os agentes mal-intencionados criam cada vez mais ataques de phishing por meio de ferramentas de colaboração e compartilhamento de arquivos on-line, como Microsoft OneDrive, Documentos Google, SharePoint, WeTransfer, Dropbox e ShareFile.15 Às vezes, os arquivos contêm o malware. Ocasionalmente, eles fazem parte de um esquema de phishing maior, destinado a transportar e armazenar imagens, documentos e materiais adicionais que podem ajudar a legitimar o esquema para seus alvos e scanners de e-mails corporativos.

Usuários fictícios de mídias sociais adicionam, ainda, outro elemento a esses ataques. Eles aparecem em um website como um plug-in integrado para redes sociais, muitas vezes fornecendo depoimentos. Na verdade, o objetivo é ver o código JavaScript integrado em um website falso de phishing que apresenta contas de mídias sociais pré-geradas. Esses perfis falsos se tornam provas de que outras pessoas (inexistentes) ganharam prêmios. Isso incentiva a participação e vende mais o esquema.

Jogos e prêmios falsos são atrativos comuns.

4O phishing não está mais somente em e-mails: ele está nas redes sociais

Campanhas de phishing em redes sociais, lançadas especificamente por meio de dispositivos móveis, são bem difíceis de atenuar. Além das falhas de segurança reconhecidas nos dispositivos móveis, a interface de usuário dos dispositivos móveis não tem a profundidade de detalhes necessária para identificar ataques de phishing, como passar o mouse sobre hiperlinks para mostrar o destino. Como resultado, os usuários de dispositivos móveis têm três vezes mais chances de cair em golpes de phishing.16

Invasores continuam a desenvolver táticas de phishingOs criminosos modernos são persistentes e usam atividades multifacetadas e direcionadas para contornar as defesas de segurança das empresas. A proteção contra campanhas de phishing é uma corrida armamentista em constante evolução. Assim que os profissionais de segurança impedem um ataque, os agentes mal-intencionados articulam e ajustam sua técnica.

Um exemplo recente: invasores encontraram uma vulnerabilidade que permitiu que eles contornassem os protocolos de segurança de e-mail existentes do Microsoft Office 365. Eles ofuscaram o URL de phishing, incorporando caracteres de largura zero a ele. Isso possibilitou que os e-mails comprometidos escapassem da verificação de reputação de URLs da Microsoft e da proteção de URLs de links seguros.17 Os usuários receberam o e-mail com o link de phishing intacto, em vez do link hospedado pela Microsoft que deveria tê-lo substituído.

Em seu recente Relatório de tendências de atividades de phishing (Phishing Activity Trends Report), o Anti-Phishing Working Group observou um aumento no uso de redirecionamento de URLs. Os invasores colocam os redirecionadores antes da página inicial do website de phishing e depois do envio das credenciais. Isso permite que o URL de phishing se esconda da detecção por meio do monitoramento de campos do solicitante do log do servidor Web.18

Exemplos adicionais de phishing evoluído e criativo incluem:

• A industrialização do phishing por meio da crescente popularidade dos kits de phishing prontos para uso

• O uso do Google Tradutor para ofuscar um URL vinculado a um website falso de extração de credenciais do Google19

• A implantação de criptografia SSL (Secure Sockets Layer) em uma página Web de phishing para dar credibilidade a um e-mail de phishing20

Os esquemas de BEC (Comprometimento de E-mails Corporativos) também estão em ascensão. Os criminosos enviam e-mails de phishing de contas de boa reputação que estão comprometidas, muitas vezes, contas do Microsoft Office 365. Como os remetentes são reais, os filtros não bloqueiam essas comunicações. Esses golpes aumentaram 476% entre o 4º trimestre de 2017 e o 4º trimestre de 201821 e resultaram em perdas de US$ 1,2 bilhão em 2018.22

Ferramentas corporativas legítimas estão sendo cada

vez mais exploradas.

5O phishing não está mais somente em e-mails: ele está nas redes sociais

Kits de phishing: a industrialização do phishingOs kits de phishing predefinidos e produzidos em massa facilitam mais do que nunca a criação e o lançamento rápidos de campanhas mal-intencionadas. Vendidos na Internet clandestina, esses kits geralmente oferecem aos golpistas tudo de que eles precisam para montar ataques prejudiciais: ferramentas de design gráfico e webdesign, conteúdo de espaço reservado, envio de e-mails em massa ou outros softwares de distribuição.

Steve Ragan, pesquisador de segurança da Akamai, descreve esses kits de ferramentas em seu artigo para a CSO:

Milhares desses kits estão disponíveis no momento. Os criminosos os desenvolvem usando uma combinação de HTML básico e PHP e os armazenam em servidores Web comprometidos. Geralmente, os programas ficam ativos por apenas 36 horas, antes de serem detectados e removidos.

Originalmente, os criminosos virtuais vendiam kits de phishing, mas agora eles estão cada vez mais sendo oferecidos de forma gratuita. No entanto, muitas vezes esses kits de phishing "gratuitos" ocultam os autores dos kits de ferramentas como destinatários implícitos. Isso significa que informações phishing não são apenas capturadas pelo comprador do kit de ferramentas, mas também pelo criador original.24 Como diz o ditado, não há honra entre ladrões.

Os pesquisadores da Akamai acompanharam recentemente a atividade de mais de 300 campanhas de phishing que usaram o mesmo kit de phishing para violar mais de 40 marcas comerciais.25 Cada golpe começa com um questionário de três perguntas relacionado a uma marca reconhecida. Independentemente da resposta selecionada, a vítima sempre "ganha".

Como essas campanhas de phishing são baseadas no mesmo kit de ferramentas, elas têm funcionalidades e recursos semelhantes, conforme mostrado à direita.

[Elas são] o componente da Web ou o back-end para um ataque de phishing. É a etapa final na maioria dos casos, em que o criminoso replicou uma marca ou organização conhecida. Após ser carregado, o kit é projetado para espelhar websites legítimos, como os mantidos pela Microsoft, Apple ou pelo Google."23

6O phishing não está mais somente em e-mails: ele está nas redes sociais

Essas campanhas baseadas no kit de ferramentas se aproveitam da reputação confiável das marcas conhecidas. Embora tenham origens e características semelhantes, cada uma delas foi facilmente personalizada para conter perguntas de questionário diferentes, em diversos idiomas. A maioria das vítimas eram companhias aéreas, mas a violação é generalizada. Os criminosos também costumam falsificar marcas de varejo, decoração, parque de diversões, fast-food, restaurante e cafeterias.

Muitas dessas páginas falsas e produzidas com kits de phishing são direcionadas a consumidores que transportam inadvertidamente a sabotagem para sua rede corporativa. E os kits que visam explicitamente os usuários corporativos também estão amplamente disponíveis. Esses kits de ferramentas foram usados para criar as seguintes páginas de login do Microsoft Office 365 e do SharePoint:

E quanto aos gateways e filtros de e-mail?As empresas geralmente têm algum tipo de filtragem de e-mails instalado, seja como um serviço dedicado ou como um complemento ao Microsoft Office 365 ou ao Google G Suite. Esses produtos fazem um trabalho decente de manter e-mails tradicionais maliciosos, de spam e de phishing longe dos usuários. Mas eles estão longe de serem perfeitos.

Em sua mais recente Avaliação de riscos à segurança de e-mails, a empresa de gerenciamento de e-mails Mimecast relata que as comunicações comprometidas estão passando cada vez mais pelos sistemas de segurança de e-mails. Eles detectaram 463.546 URLs maliciosos, contidos em 28.407.664 e-mails entregues. Em outras palavras, um a cada 61 e-mails de phishing chega ao destinatário pretendido.26

A facilidade e a economia dos kits de phishing e a proliferação fornecida pelas redes sociais significam que os criminosos virtuais podem criar e circular campanhas breves de phishing com grande sucesso. A equipe de pesquisa de ameaças da Akamai determinou que esses breves ataques representam um conjunto exclusivo de desafios.

6

7O phishing não está mais somente em e-mails: ele está nas redes sociais

O tráfego deve chegar ao domínio de phishing e mostrar uma mudança de comportamento para ser sinalizado. Quando as equipes de segurança observam esse tráfego desonesto, analisam o URL, adicionam o URL a uma lista de ameaças e enviam a lista atualizada aos clientes, a campanha de phishing termina. Ela fez o que tinha que fazer, e o URL mal-intencionado foi desativado, provavelmente pelos criminosos ou talvez pelo proprietário legítimo do website que hospedou o URL comprometido.

Essa lacuna na detecção representa uma ameaça significativa para as empresas.

A era dos dispositivos corporativos de roaming e BYOD (Traga seu Próprio Dispositivo) cria, ainda, outra fraqueza. Uma força de trabalho distribuída e móvel significa que os mecanismos tradicionais de segurança corporativa são cada vez mais insuficientes. Os dispositivos pessoais que entram e saem do perímetro da organização podem acessar contas de e-mail privadas, não protegidas pelos gateways e filtros de e-mail da empresa. Como a linha entre acesso e dispositivos profissionais e pessoais continua indefinida, essa ameaça só piorará.

Tráf

ego

par

a o

UR

L

Tempo

URL criado A campanha de phishing começa

T = dias/meses T = horas

URL desativado

URL detectado

URL adicionado à lista negra

Os funcionários que caem no phishing ou em outros golpes de invasores são a ameaça interna mais perigosa.27

Funcionários inocentes que são enganados

Funcionários que combinam uso pessoal e profissional

26%42%

8O phishing não está mais somente em e-mails: ele está nas redes sociais

E, conforme discutido anteriormente, o e-mail não é a única maneira de iniciar um ataque de phishing e distribuir links mal-intencionados.

Para detectar, bloquear e atenuar esses ataques sofisticados de phishing, as organizações precisam de uma camada adicional de defesa que observe o tráfego completo de todos os dispositivos na rede.

ConclusãoO cenário de phishing evoluiu. Os kits de phishing industrializados, bem como o uso de redes sociais e de outros canais de distribuição, que não são de e-mails, são os novos padrões. Para agravar ainda mais essa tendência alarmante, os dispositivos estão em roaming e, em geral, os usuários acessam aplicações de redes sociais e mensagens por meio de dispositivos móveis, que normalmente são o elo mais fraco na estrutura de segurança de uma empresa.

Para contra-atacar com êxito, as empresas modernas precisam adotar um modelo Zero Trust. O lema da segurança corporativa deve ser: não confie em nada, verifique tudo e mantenha os controles consistentes. As empresas precisam autenticar e autorizar cada solicitação de acesso e conceder acesso somente de forma transitória.

As soluções de segurança baseadas em nuvem estão posicionadas exclusivamente para implementar uma estrutura Zero Trust, pois elas podem monitorar todas as atividades da rede corporativa, independentemente do tipo de dispositivo ou da origem de uma solicitação. Elas têm visibilidade de crowdsourcing, ou seja, agregam o tráfego distinto com escopo limitado e criam insights globais em tempo real. Essas soluções usam padrões em toda a Internet a fim de adquirir um conhecimento mais completo sobre as ameaças.

Ao observar o impacto de campanhas de phishing em várias empresas, a proteção baseada em nuvem consegue identificar tendências que uma única empresa talvez não seja capaz de detectar.

Enterprise Threat Protector da AkamaiO Enterprise Threat Protector da Akamai identifica, bloqueia e atenua proativamente as ameaças direcionadas, provenientes de campanhas de phishing, kits de phishing, malware, ransonware, exfiltração de dados de DNS (Sistema de Nomes de Domínio) e ataques avançados do dia zero. O Enterprise Threat Protector é um gateway de Internet seguro que permite às equipes de segurança garantirem que os usuários e dispositivos possam se conectar com segurança à Internet, independentemente de onde os usuários estejam se conectando, e sem a complexidade associada às abordagens legadas.

Para saber mais sobre o Enterprise Threat Protector e obter uma avaliação gratuita, acesse akamai.com/etp.

Saiba mais

9O phishing não está mais somente em e-mails: ele está nas redes sociais

A Akamai protege e entrega experiências digitais para as maiores empresas do mundo. A plataforma inteligente da Akamai engloba tudo, desde a empresa até a nuvem, para que os clientes e suas empresas possam ser rápidos e inteligentes e estar protegidos. As principais marcas mundiais contam com a Akamai para ajudá-las a obter vantagem competitiva por meio de soluções ágeis que ampliem o poder de suas arquiteturas compostas por várias nuvens. A Akamai mantém as decisões, aplicações e experiências mais próximas dos usuários, e os ataques e as ameaças cada vez mais distantes. O portfólio de soluções de segurança de borda, desempenho na Web e em dispositivos móveis, acesso corporativo e entrega de vídeo da Akamai conta com um excepcional atendimento ao cliente e monitoramento 24 horas por dia, 7 dias por semana, durante o ano inteiro. Para saber por que as principais marcas mundiais confiam na Akamai, visite akamai.com, blogs.akamai.com, ou @Akamai no Twitter. Encontre nossas informações de contato global em akamai.com/locations. Publicado em 08/19.

FONTES 1) https://nakedsecurity.sophos.com/2018/10/23/phishing-is-still-the-most-commonly-used-attack-on-organizations-survey-says/

2) Relatório Investigações de violação de dados (Data Breach Investigations) de 2018, https://enterprise.verizon.com/resources/reports/dbir/

3) Pesquisa interna da Akamai

4) Relatório trimestral "Avaliação de riscos à segurança de e-mails" (Email Security Risk Assessment) da Mimecast, março de 2019. https://www.mimecast.com/globalassets/

documents/whitepapers/esra-white-paper-march-2019-v3.pdf

5) Relatório Investigações de violação de dados (Data Breach Investigations) de 2018, https://enterprise.verizon.com/resources/reports/dbir/

6) Relatório Phishing global (Global Phish) de 2019 da Avanan, https://www.avanan.com/global-phish-report

7) Relatório O fator humano (The Human Factor) de 2018, https://www.proofpoint.com/sites/default/files/gtd-pfpt-us-wp-human-factor-report-2018-180425.pdf

8) https://www.webroot.com/us/en/about/press-room/releases/nearly-15-million-new-phishing-sites

9) Relatório Estado do phishing (State of the Phish) de 2019, https://info.wombatsecurity.com/hubfs/Wombat_Proofpoint_2019%20State%20of%20the%20Phish%20

Report_Final.pdf

10) Relatório Defesa e resiliência de phishing corporativo (Enterprise Phishing Resiliency and Defense), https://cofense.com/wp-content/uploads/2017/11/Enterprise-

Phishing-Resiliency-and-Defense-Report-2017.pdf

11) https://www2.deloitte.com/content/dam/Deloitte/uk/Documents/consumer-business/deloitte-uk-consumer-review-nov-2015.pdf

12) https://betanews.com/2019/05/02/social-media-phishing/

13) "Uma nova era no phishing: jogos, redes sociais e prêmios" (A New Era in Phishing – Games, Social, and Prizes) de Or Katz, Akamai. https://www.akamai.com/us/en/

multimedia/documents/report/a-new-era-in-phishing-research-paper.pdf

14) "Quatro tendências de ataques de phishing para ficar de olho em 2019" (Four Phishing Attack Trends To Look Out For In 2019) de Michael Landewe, Avanan.

https://www.forbes.com/sites/forbestechcouncil/2019/01/10/four-phishing-attack-trends-to-look-out-for-in-2019/#6a9fd5034ec2

15) "Criminosos virtuais falsificam serviços conhecidos de compartilhamento de arquivos para dominar contas de e-mail" (Cybercriminals Impersonate Popular File Sharing

Services to Take Over Email Accounts) de Asaf Cidon, CSO. https://www.csoonline.com/article/3274546/cybercriminals-impersonate-popular-file-sharing-services-to-take-

over-email-accounts.html

16) Relatório Phishing móvel (Mobile Phishing) de 2018, https://info.lookout.com/rs/051-ESQ-475/images/Lookout-Phishing-wp-us.pdf

17) "Vulnerabilidade Z-WASP usada para phishing no Office 365 e no ATP" (Z-WASP Vulnerability Used to Phish Office 365 and ATP) de Yoav Nathaniel, Avanan.

https://www.avanan.com/resources/zwasp-microsoft-office-365-phishing-vulnerability

18) "Relatório de tendências de atividades de phishing" (Phishing Activity Trends Report) do Anti-Phishing Working Group. http://docs.apwg.org/reports/apwg_trends_

report_q3_2018.pdf

19) "Ataques de phishing contra o Facebook/Google via Google Tradutor" (Phishing Attacks Against Facebook / Google via Google Translate) de Larry Cashdollar.

https://blogs.akamai.com/sitr/2019/02/phishing-attacks-against-facebook-google-via-google-translate.html

20) "Relatórios de tendências de atividades de phishing" (Phishing Activity Trends Reports) do Anti-Phishing Working Group. http://docs.apwg.org/reports/apwg_trends_

report_q3_2018.pdf

21) https://www.bleepingcomputer.com/news/security/business-email-compromise-attacks-see-almost-500-percent-increase/

22) "Relatório de crimes de Internet" (Internet Crime Report) de 2018 do FBI, International Crime Compliant Center. https://www.ic3.gov/media/annualreport/2018_

IC3Report.pdf

23) "O que são kits de phishing? Explicação sobre componentes da Web de ataques de phishing" (What Are Phishing Kits? Web Components of Phishing Attacks

Explained) de Steve Ragan, CSO. https://www.csoonline.com/article/3290417/csos-guide-to-phishing-and-phishing-kits.html

24) Pesquisa interna da Akamai

25) "Phishing de questionário: um golpe, 78 variações" (Quiz Phishing: One Scam, 78 Variations) de Or Katz, Akamai. https://blogs.akamai.com/sitr/2018/12/quiz-phishing-

one-scam-78-variations.html

26) Relatório trimestral "Avaliação de riscos à segurança de e-mails" (Email Security Risk Assessment) da Mimecast, março de 2019. https://www.mimecast.com/

globalassets/documents/whitepapers/esra-white-paper-march-2019-v3.pdf

27) https://www.idg.com/tools-for-marketers/2018-u-s-state-of-cybercrime/