Pontos de vista

A anatomia de um phish

Kevin Townsend, 19 Outubro 2020

Entenda os diversos tipos de ataques phishing e os gatilhos usados por criminosos para enganar suas vítimas.

Phishing é a categoria mais comum de golpe virtual. A maioria deles quer tirar dinheiro de você. O phishing é exclusivo para cada vítima pois busca dados pessoais, geralmente na forma de senhas e informações bancárias.

Essa é a grande diferença que usaremos aqui. Se o golpe procura obter dinheiro, é apenas um golpe. Se está atrás de credenciais, é phishing. Ele pode ser vishing (por telefone), smishing (por chat), whaling (se quiser pescar um peixe grande) ou spear-phishing (phishing direcionado). Tudo que eles querem são dados pessoais.

Existem ferramentas tecnológicas para impedir phishing, mas considerando o último relatório do FBI que observou 114.702 ataques de phishing em 2019, que levou a prejuízos de quase 58 milhões de dólares, é justo dizer que elas não são à prova de falha. A melhor maneira de se proteger contra ataques de phishing é reconhecê-los. E a melhor maneira de reconhecê-los é entender a anatomia e a estrutura desses ataques e como eles funcionam.

O "anzol" do golpe de phishing

As duas principais categorias de phishing são o padrão e o spear-phishing. A primeira é um phishing genérico em grande escala, normalmente entregue em campanhas de phishing. Ele também é conhecido como phishing de espalhar e capturar. A segunda, o spear-phishing, é quando uma pessoa ou um grupo pequeno de pessoas relacionadas é especificamente atacado.

O phishing “espalhar e capturar”

Todos nós provavelmente já fomos alvo de uma campanha de phishing espalhar e capturar e reconhecemos a ameaça. Uma olhada rápida na nossa pasta de spam mostrará dezenas delas, que foram filtradas por nosso provedor de serviço de e-mail. Reconhecê-las é relativamente fácil, pois contêm erros de digitação, de gramática e têm uma aparência mal acabada. De acordo com o Relatório de Investigações de Violação de Dados de 2020, as taxas de cliques em e-mails de phishing estão no mínimo histórico, em torno de 3,4%. 

Isso torna o espalhar e capturar um jogo estatístico de espera. Qualquer mensagem de phishing tem uma chance de 96,6% de ser ignorada pela vítima, mesmo se passar pelos filtros automatizados do serviço de e-mail. No entanto, isso significa que para cada cem mensagens enviadas em uma campanha espalhar e capturar, podemos esperar que três ou quatro pessoas caiam no golpe. Se a campanha distribuir 100.000 mensagens fraudulentas, o número de vítimas à disposição dos cibercriminosos será de 3.400.

O spear-phishing

O spear-phishing é mais sofisticado e normalmente mais técnico e prejudicial que o phishing espalhar e capturar. Spear-phishers pesquisarão os alvos com diferentes formas de OSINT (inteligência open-source, como redes sociais) para reunir informações sobre os hábitos do alvo, os serviços que ele usa, contatos e muito mais. Com essas informações integradas ao e-mail, a mensagem pode parecer vir de uma fonte confiável e será geralmente convincente e atraente.

Vale a pena mencionar que, como o phishing espalhar e capturar é simples de ser detectado, muitas pessoas acreditam que estão imunes a qualquer phishing. Isso é perigoso. Provavelmente, não há ninguém no mundo que não possa ser vítima do spear-phishing. Veja o caso da jornalista do Telegraph* que desafiou um hacker do bem invadir seu computador. Ele teve sucesso ao usar spear-phishing, em que apresentava uma oportunidade de notícia atraente combinada com uma sensação de urgência.

As vítimas caem em ataques de phishing, devido à combinação de estrutura de e-mail e a isca que ele contém, além da inclusão de vários acionadores emocionais que extraem a resposta de que o invasor precisa. Vamos discutir isso em seguida como a anatomia do phishing e os disparadores emocionais. Se entendermos como somos enganados, poderemos estar melhor equipados para reconhecer ou ignorar (ou denunciar) um ataque de phishing quando ele acontecer.

Anatomia de um phishing

Vamos focar no phishing de e-mail, pois ele é o vetor mais comum desse tipo de ataques e permite analisar a anatomia completa das mensagens de phishing.

O cabeçalho visível do e-mail

O cabeçalho visível do e-mail é a parte do e-mail que podemos ver antes de abri-lo. Ele é a primeira oportunidade do invasor de chamar sua atenção, mas também é o ponto em que muitas campanhas de espalhar e capturar falham. A intenção é apresentar um assunto interessante de uma fonte confiável. Um exemplo em minha pasta de spam é “_ nooreplyl1i.affpartners.com”.[@] “Alta prioridade” não é uma pessoa, mas tem o objetivo de adicionar um senso de urgência ao e-mail (veja disparadores emocionais abaixo) e incentivar as possíveis vítimas a abri-lo sem pensar. Uma inspeção mais detalhada e rápida nos permite ver mais falhas: “l1i.affpartners.com” não parece um nome de domínio legítimo e “nooreply” é provavelmente um erro de digitação para “no.reply” ou “no-reply”.

Ataques de spear-phishing podem ser muitos sutis. Se tiver algum amigo com o endereço de e-mail John.Smith[@]company.com, os invasores poderão enviar uma mensagem como John.Smith[@]google.com, usando um e-mail aberto e esperando que você não note o domínio diferente.

Um assunto atraente

A linha de assunto do cabeçalho é importante para um bom phish. Ela é o fator principal no que nos faz decidir se o e-mail deve ser lido ou não. Ela deve ser curta o suficiente para ser processada facilmente pela vítima, mas precisa conter acionadores emocionais fortes para que não seja ignorada. Assuntos eficazes para phishing criarão um senso de urgência, ameaça ou prospecto de ganhos para o usuário. De acordo com a pesquisa da KnowBe4, o assunto de phishing mais clicado é “Troca de senha necessária imediatamente”, com três frases similares aparecendo dentre os 10 assuntos mais clicados de phishing. Desastres internacionais também são assuntos atraentes, pois curiosidade, medo e compaixão são acionadores emocionais comuns, e a pandemia da Covid-19 é um exemplo claro.

Um corpo de e-mail convincente

Assim como todas as formas de golpe de e-mail, o corpo (ou conteúdo) contém a isca. A isca, de maneira geral, pode ser vista como aquilo que faz com que o alvo fique tentado a morder o anzol (a carga, veja abaixo).

Nesse estágio, o invasor já conseguiu convencer a vítima a abrir e ler o e-mail. Agora, a isca no corpo do e-mail precisa convencer a vítima a clicar em um link ou a responder. A isca é normalmente cheia de acionadores emocionais projetados para envolver a vítima favoravelmente. Considere este exemplo de isca para espalhar e capturar

À parte do fato de eu nunca participar de pesquisas online, os erros gramaticais e ortográficos, assim como a sintaxe estranha típica desse tipo de ataques, tornam óbvia a tentativa de phishing. Os dois acionadores emocionais mais óbvios são a ganância (quem não gostaria de ganhar um iPhone?) e a urgência (o alvo tem apenas 24 horas, ou a oportunidade será perdida). Outras iscas de phishing comuns são faturas e notificações de entrega comuns e plausíveis (mas fraudulentas), ameaças legais mais grandiosas, ou simplesmente disfarces de organizações de caridade ou governamentais. 

A carga

A carga é o ponto crucial do e-mail de phishing. A carga mais comum é um link maligno. Ele pode levar a um site maligno ou comprometido, onde uma tela falsificada de login coleta credenciais para enviá-las ao criminoso. O link pode estar no corpo do e-mail ou em um anexo.

O link de carga é geralmente disfarçado. No exemplo acima, o botão “clique aqui” é a carga. Se você passar o cursor do mouse acima de um link, a maioria dos navegadores mostrará a URL no canto inferior esquerdo da tela, permitindo ver o destino atual. Para contornar isso, a maioria dos phishers usa encurtadores de URL, como o Bitly, para ocultar o destino real. Nosso exemplo aqui, mostra https:// t.co/YwTb24fxMI ?amp=1. A ofuscação de URL é sempre suspeita, por isso, qualquer e-mail que contenha uma URL encurtada ou ofuscada deverá ser tratado como phishing até que se prove o contrário. 

Acionadores emocionais

O cabeçalho, o assunto, a isca e a carga formam a estrutura fundamental de um phishing, mas o sucesso ou fracasso está nos disparadores emocionais contidos na mensagem. Disparadores emocionais existem para induzir uma reação imediata, impensada e impulsiva, porque, quanto mais podemos pensar, analisar e considerar uma mensagem de phishing, menor a chance de ela ter sucesso. Consequentemente, é importante termos calma. Mesmo se um e-mail parecer urgente e legítimo, ter uma regra de nunca responder a um e-mail sem pensar um pouco pode nos ajudar muito a manter a tranquilidade e enxergar manipulações emocionais.

Os principais acionadores emocionais estão listados abaixo, mas é importante lembrar que eles podem ser incluídos em qualquer combinação em um e-mail de phishing e que serão usados de forma muito sutil nos ataques mais sofisticados.

Ganância

Ganância pode ser o primeiro acionador emocional que golpes de phishing tentaram explorar. O uso da ganância como acionador é muito mais antigo que os golpes infames do Príncipe Nigeriano, mas há ainda muitas tentativas de capitalizá-la. No final de 2019, funcionários da Microsoft foram atacados com uma campanha de phishing que tinha como objetivo divulgar futuros aumentos de salário. A carga era um link para uma tela de login fraudulenta projetada para coletar credenciais de login do Microsoft Office. Ao abrir qualquer e-mail, é importante ter dois axiomas em mente: nada na vida é de graça e se algo for bom demais para ser verdade, provavelmente é mentira.

Urgência

A urgência está muito presente no phishing. Em vez de ser um acionador emocional por si só, a urgência precisa usar outros acionadores emocionais para funcionar: Você ganhou um presente, mas precisa resgatar em 24 horas. Algumas informações constrangedoras sobre você serão compartilhadas com todos os seus contatos se você não responder até a meia-noite. Se o golpista puder remover o tempo para a vítima pensar ou colocá-la em um estado de pânico, isso aumenta drasticamente a chance de ter sucesso em enganar o alvo.

Boas defesas mentais contra a urgência são difíceis de cultivar, pois ela é projetada especificamente para atrapalhar essas defesas. No entanto, é bom lembrar que, se receber um e-mail ou mensagem que faça você se sentir pavor, provavelmente quem enviou quer que você entre em pânico. Você deve considerar essa sensação de urgência como um sinal de que é hora de parar e pensar bem no próximo passo. Isso pode ajudar a evitar até as campanhas de phishing mais eficazes.

Medo

O medo pode ser aplicado em muitas situações e contextos diferentes. Muitas vezes, há uma forte interação com a urgência, especialmente quando se trata do medo de consequências ruins se não respondermos imediatamente. Ao juntar medo e urgência, o resultado é pânico. Isso pode ser usado em ameaças jurídicas ou de revelação de informações pessoais.

O medo pode ser também menos visceral. Medo de perder uma oportunidade ou de ficar desinformado pode ser também acionadores emocionais muito atraentes. Golpes de phishing geralmente aproveitam o medo do perigo e o medo de perder algo (FOMO).

A pandemia fez com que surgisse uma onda de golpes de phishing* que aproveitam ambos os aspectos do medo. A infecção mortal e contagiosa fez muitos de nós temer por nossa segurança e há um grande desejo de se manter informado e atualizado sobre as últimas notícias, ou obter uma vacina de em estoque muito limitado (e inexistente). 

Simpatia

Embora muitos acionadores emocionais explorem nossos instintos básicos, nossa melhor natureza pode também ser usada contra nós. Geralmente, qualquer crise, emergência ou desastre causa um pico nas tentativas de e-mail de phishing que tentam aproveitar a situação para capitalizá-la. E-mails de phishing podem fingir vir de uma organização de caridade ou pessoa em necessidade. As temporadas de tempestades tropicais de 2018 e 2019 levaram várias organizações (inclusive a FCC*) a emitir avisos oficiais sobre fraudes pós-desastre, pedindo aos usuários para confirmar as credenciais de qualquer instituição de caridade. Essas supostas instituições de caridade não querem suas doações, apenas seus dados bancários.

Curiosidade/voyeurismo

A curiosidade pode ser um acionador especialmente perigoso, pois frequentemente achamos que dar uma olhadinha não pode nos colocar em perigo. Os mesmos princípios que se aplicam a artigos de clickbait online podem ser usados em phishing. Qualquer frase de assunto suficientemente sensacionalista pode ser irresistível à nossa curiosidade: “Você não vai acreditar na entrada número 7!” Após a morte de Kobe Bryant no início deste ano, phishings clickbait com assuntos como “incrível”, “chocante” ou “nunca visto antes” se tornaram tão numerosos que o Better Business Bureau emitiu um alerta* oficial aos consumidores.

Defesas tecnológicas contra phishing

Empresas e organizações de segurança cibernética estão sempre procurando maneiras de impedir phishing com tecnologia. Por mais que essas soluções tecnológicas possam ajudar a mitigar o phishing ou reduzir a exposição de usuários a golpes de phishing, a prevalência constante de phishing e os danos que ele causa significam que temos que considerar que essas soluções fracassaram. De acordo com o DBIR de 2020, 22% de todas as violações ao longo do ano passado envolveram phishing, enquanto que 80% de todos os tipos de ataques “sociais” são phishing de alguma forma.

Filtros de URL e escaneamento de e-mail

Os desenvolvedores de navegador mantêm listas de bloqueio de sites de phishing conhecidos que podem ajudar a impedir que usuários acessem URLs malignas. Isso é apenas parcialmente eficaz, pois a campanha média de phishing dura apenas 12 minutos. O site muda antes que possa ser adicionada à lista de bloqueio. 

A inteligência artificial (IA) está também sendo usada para escanear e-mails para detectar phishing. Isso pode ser eficaz com phishing de espalhar e capturar, mas os produtos de IA são caros e tendem a ser úteis apenas a empresas, não a clientes.

DMARC

DMARC – a abreviação de “Domain-based Message Authentication, Reporting & Conformance” (autenticação, relatório e conformidade de mensagem com base no domínio, em tradução livre) é uma tecnologia que realmente combate o phishing, algumas vezes. Não vamos entrar nos detalhes da tecnologia (DMARC aproveita outras tecnologias, como SPF e DKIM, que também foram projetadas para combater o phishing), mas explicar porque ela funciona quando dá certo e porque não ajuda o usuário final.

DMARC funciona contra o que é conhecido como “phishing de domínio exato”. Ele é a suposta origem do e-mail de phishing: o domínio exato, esperado e correto (que aparece na linha “De” do cabeçalho). Se o DMARC for instalado completamente por um provedor de serviço, a tecnologia confirma que a mensagem veio genuinamente desse domínio. Caso contrário, ele supõe que é phishing e bloqueia.

Para demonstrar como isso funciona, considere a autoridade fiscal do Reino Unido, o HMRC. Em 2016, esse domínio foi o 16º na lista de domínios mais atacados por phishing do mundo. O HMRC então instalou o DMARC e desde então caiu para o 126º lugar no mundo. Durante esse período, o DMARC bloqueou 300 milhões de tentativas de e-mail de phishing.

No entanto, o DMARC não pode impedir phishing de domínios não exatos. Isso acontece quando o domínio “de” no cabeçalho do e-mail é um sósia em vez do domínio exato genuíno. Por exemplo, eu posso registrar o domínio “hnnrc[.]co.uk” (ou hnnrc[.]uk ou hnnrc[.]org.uk ou hnnrc[.]me.uk. Todos eles estavam disponíveis no momento em que escrevi este artigo, e esperar que os destinatários não notem que “hnnrc” não é “hmrc”.

O segundo ponto fraco do DMARC é que apenas uma pequena porcentagem de empresas implantaram a solução. Mas o ponto fraco real é que o usuário final não pode saber se um e-mail recebido foi verificado pelo DMARC ou não. Consequentemente, todos os e-mails recebidos precisam ser considerados suspeitos, mesmo que o DMARC esteja envolvido. 

Há uma tentativa de resolver esse último problema com a introdução de outra tecnologia: BIMI, ou Brand Indicators for Message Identification (Indicadores de Marca para Identificação de Mensagens, em tradução livre). O BIMI funciona apenas onde o DMARC foi implantado de maneira total e correta. Se o provedor de serviço de e-mail souber que o e-mail é genuíno por meio do DMARC, e o domínio de envio implantou o BIMI, o serviço de e-mail inserirá o logotipo do domínio na lista de e-mail. Assim, se verificar a sua lista de e-mail e vir o logotipo esperado do remetente, você poderá ter confiança de que o e-mail é genuíno e não é um e-mail de phishing.

De novo, apenas uma pequena porcentagem de organizações implantaram totalmente o DMARC, e apenas uma pequena fração implantaram o BIMI. Isso não é muito provável, mas phishing de domínio exato poderia ser eliminado se DMARC e BIMI fossem padrões de e-mail obrigatórios. Enquanto isso, do ponto de vista do usuário final, ao DMARC não faz nada para resolver o problema de phishing, apesar de funcionar.

Resumo

As chances de sermos enganados por phishing são maiores do que pensamos. Por exemplo, em uma pesquisa feita pela PhishMe no ano passado, apenas 10,4% dos entrevistados acreditavam que o medo era um fator motivacional eficaz para a abertura de um e-mail. No entanto, um e-mail de phishing simulado que ameaçava o destinatário com uma ação legal foi aberto por 44% dos participantes. Apenas 7,8% acreditavam que poderiam ser enganados pela possibilidade de uma oportunidade, mas um phishing de spoof, que declarava que os destinatários estavam qualificados para um seguro de saúde, foi aberto por 39,2% dos participantes.

Com frequência, ouvimos que o elo mais fraco na segurança é o usuário, mas podemos melhorar com consciência e compreensão suficientes. A tecnologia não tem ainda uma solução confiável ao phishing, e esses ataques não podem ser tratados com antimalware ou segurança cibernética geral, devido à sua natureza psicológica. Se pudermos reconhecer ataques de phishing por sua anatomia, ficar calmos e vigilantes e não permitirmos que nossas emoções sejam manipuladas, podemos nos tornar o elo mais forte da segurança.