Phishing - Phishing

Um exemplo de um e-mail de phishing, disfarçado como um e - mail oficial de um banco (fictício). O remetente está tentando enganar o destinatário para que revele informações confidenciais "confirmando" no site do phisher. Observe o erro de ortografia das palavras recebidas e discrepância quanto recebeu e discrepency , respectivamente.

Phishing é um tipo de engenharia social em que um invasor envia uma mensagem fraudulenta ("falsificada") projetada para induzir uma vítima humana a revelar informações confidenciais ao invasor ou para implantar software malicioso na infraestrutura da vítima, como ransomware . Os ataques de phishing têm se tornado cada vez mais sofisticados e, muitas vezes, espelham de forma transparente o site visado, permitindo que o invasor observe tudo enquanto a vítima está navegando no site e ultrapasse quaisquer limites de segurança adicionais com a vítima. A partir de 2020, o phishing é de longe o ataque mais comum realizado pelos ciber-criminosos, com o FBI 's Internet Crime Complaint Centro de gravar mais de duas vezes como muitos incidentes de phishing do que qualquer outro tipo de criminalidade informática.

O primeiro uso registrado do termo "phishing" foi no kit de ferramentas de cracking AOHell criado por Koceilah Rekouche em 1995, no entanto, é possível que o termo tenha sido usado antes disso em uma edição impressa da revista hacker 2600 . A palavra é uma variante leetspeak de pesca ( ph é um substituto comum para f ), provavelmente influenciada por phreaking , e alude ao uso de iscas cada vez mais sofisticadas para "pescar" as informações confidenciais dos usuários.

As tentativas de prevenir ou mitigar o impacto dos incidentes de phishing incluem legislação , treinamento do usuário, conscientização pública e medidas técnicas de segurança. A conscientização sobre phishing está se tornando essencial em casa e no local de trabalho. Por exemplo, de 2017 a 2020, os ataques de phishing aumentaram de 72 para 86% entre as empresas.

Tipos

Phishing de e-mail

A maioria das mensagens de phishing são entregues por e-mail e não são personalizadas ou direcionadas a um indivíduo ou empresa específica - isso é denominado phishing "em massa". O conteúdo de uma mensagem de phishing em massa varia amplamente, dependendo do objetivo do invasor - os alvos comuns para personificação incluem bancos e serviços financeiros, provedores de produtividade de email e nuvem e serviços de streaming. Os invasores podem usar as credenciais obtidas para roubar dinheiro diretamente de uma vítima, embora as contas comprometidas sejam frequentemente usadas como um ponto de partida para realizar outros ataques, como roubo de informações proprietárias, instalação de malware ou spear phishing de outras pessoas dentro da organização do alvo. As contas de serviço de streaming comprometidas geralmente são vendidas diretamente aos consumidores nos mercados de darknet .

Spear Phishing

O spear phishing envolve um invasor que visa diretamente uma organização ou pessoa específica com e-mails de phishing personalizados. Isso é essencialmente a criação e o envio de e-mails para uma determinada pessoa para fazer a pessoa pensar que o e-mail é legítimo. Em contraste com o phishing em massa, os atacantes de spear phishing geralmente reúnem e usam informações pessoais sobre seu alvo para aumentar a probabilidade de sucesso do ataque. O spear phishing normalmente tem como alvo executivos ou aqueles que trabalham em departamentos financeiros que têm acesso aos dados e serviços financeiros confidenciais da organização. Um estudo de 2019 mostrou que as empresas de contabilidade e auditoria são alvos frequentes de spear phishing devido ao acesso de seus funcionários a informações que podem ser valiosas para os criminosos.

Threat Group-4127 (Fancy Bear) usou táticas de spear phishing para direcionar contas de e-mail vinculadas à campanha presidencial de 2016 de Hillary Clinton . Eles atacaram mais de 1.800 contas do Google e implementaram o domínio accounts-google.com para ameaçar os usuários visados.

Um estudo recente testou a suscetibilidade de certas faixas etárias à pesca submarina. No total, 100 jovens e 58 usuários mais velhos receberam, sem seu conhecimento, e-mails de phishing simulados diariamente ao longo de 21 dias. Um plugin do navegador registrou seus cliques em links nos e-mails como um indicador de sua suscetibilidade. Quarenta e três por cento dos usuários caíram nos emails de phishing simulados, com mulheres mais velhas mostrando a maior suscetibilidade. Enquanto a suscetibilidade em usuários jovens diminuiu ao longo do estudo, a suscetibilidade em usuários mais velhos permaneceu estável.

Whaling e fraude de CEO

Whaling se refere a ataques de spear phishing dirigidos especificamente a executivos seniores e outros alvos de alto perfil. O conteúdo provavelmente será elaborado para ser do interesse da pessoa ou função visada - como uma intimação ou reclamação do cliente.

A fraude do CEO é efetivamente o oposto da caça às baleias; envolve a criação de e-mails falsificados, supostamente de executivos seniores, com a intenção de fazer com que outros funcionários de uma organização executem uma ação específica, geralmente o envio de dinheiro para uma conta offshore. Embora a fraude do CEO tenha uma taxa de sucesso razoavelmente baixa, os criminosos podem ganhar grandes somas de dinheiro com as poucas tentativas bem-sucedidas. Houve vários casos de organizações que perderam dezenas de milhões de dólares com esses ataques.

Clonar phishing

O phishing clone é um tipo de ataque de phishing em que um e-mail legítimo e entregue anteriormente, contendo um anexo ou link, tem seu conteúdo e endereços de destinatário obtidos e usados ​​para criar um e-mail quase idêntico ou clonado. O anexo ou link no e-mail é substituído por uma versão maliciosa e enviado de um endereço de e-mail falsificado para parecer vir do remetente original. Pode ser um reenvio do original ou uma versão atualizada do original. Normalmente, isso exige que o remetente ou o destinatário tenham sido hackeados anteriormente para que o terceiro mal-intencionado obtenha o e-mail legítimo.

Phishing de voz

Phishing de voz , ou vishing , é o uso de telefonia (geralmente telefonia de voz sobre IP ) para conduzir ataques de phishing. Os invasores discarão uma grande quantidade de números de telefone e reproduzirão gravações automatizadas - geralmente feitas usando sintetizadores de texto para voz - que fazem alegações falsas de atividade fraudulenta nas contas bancárias ou nos cartões de crédito da vítima. O número de telefone de chamada será falsificado para mostrar o número real do banco ou instituição falsificada. A vítima é então direcionada a ligar para um número controlado pelos atacantes, que irá automaticamente solicitar que eles insiram informações confidenciais para "resolver" a suposta fraude ou conectá-los a uma pessoa viva que tentará usar a engenharia social para obter em formação. O phishing de voz se beneficia da menor percepção do público em geral de técnicas como falsificação de identificador de chamadas e discagem automática, em comparação com os equivalentes para phishing de e-mail e, portanto, a confiança inerente que muitas pessoas têm na telefonia de voz.

Phishing de SMS

O phishing ou smishing de SMS é conceitualmente semelhante ao phishing de e-mail, exceto que os invasores usam mensagens de texto de telefone celular para entregar a "isca". Os ataques de smishing normalmente convidam o usuário a clicar em um link, ligar para um número de telefone ou contatar um endereço de e-mail fornecido pelo invasor por meio de mensagem SMS. A vítima é então convidada a fornecer seus dados privados; frequentemente, credenciais para outros sites ou serviços. Além disso, devido à natureza dos navegadores móveis, os URLs podem não ser totalmente exibidos; isso pode dificultar a identificação de uma página de logon ilegítima. Como o mercado de telefonia móvel está saturado de smartphones, todos com conectividade rápida com a Internet, um link malicioso enviado por SMS pode ter o mesmo resultado que se fosse enviado por e - mail . Mensagens de smishing podem vir de números de telefone em um formato estranho ou inesperado.

Sequestro de página

O sequestro de página envolve o comprometimento de páginas da web legítimas para redirecionar os usuários a um site malicioso ou a um kit de exploração por meio de scripts entre sites . Um hacker pode comprometer um site e inserir um kit de exploração , como o MPack , a fim de comprometer usuários legítimos que visitam o servidor da web agora comprometido. Uma das formas mais simples de sequestro de página envolve a alteração de uma página da Web para conter um frame embutido malicioso que pode permitir o carregamento de um kit de exploração . O sequestro de página é frequentemente usado em conjunto com um ataque de watering hole em entidades corporativas para comprometer os alvos.

Técnicas

Manipulação de link

A maioria dos tipos de phishing usa alguma forma de fraude técnica projetada para fazer um link em um e-mail parecer pertencer à organização que os invasores estão personificando. URLs com erros ortográficos ou o uso de subdomínios são truques comuns usados ​​por phishers. No seguinte URL de exemplo ,,http://www.yourbank.example.com/ pode parecer a olhos não treinados como se o URL levasse o usuário à seção de exemplo do site yourbank ; na verdade, esse URL aponta para a seção "seu banco " (ou seja, phishing) do site de exemplo . Outro truque comum é fazer com que o texto exibido para um link sugira um destino confiável, quando o link na verdade vai para o site do phisher. Muitos clientes de e-mail de desktop e navegadores da web mostrarão o URL de destino de um link na barra de status ao passar o mouse sobre ele. Esse comportamento, no entanto, pode, em algumas circunstâncias, ser anulado pelo phisher. Aplicativos móveis equivalentes geralmente não têm esse recurso de visualização.

Nomes de domínio internacionalizados (IDNs) podem ser explorados por meio de falsificação de IDNs ou ataques homográficos , para criar endereços da web visualmente idênticos a um site legítimo, que levam, em vez disso, a uma versão maliciosa. Os phishers se aproveitaram de um risco semelhante, usando redirecionadores de URL abertos em sites de organizações confiáveis ​​para disfarçar URLs maliciosos com um domínio confiável. Mesmo os certificados digitais não resolvem esse problema porque é bem possível que um phisher adquira um certificado válido e, subsequentemente, altere o conteúdo para falsificar um site genuíno ou hospedar o site de phishing sem SSL .

Evasão de filtro

Às vezes, os phishers usam imagens em vez de texto para tornar mais difícil para os filtros anti-phishing detectar o texto comumente usado em e-mails de phishing. Em resposta, filtros anti-phishing mais sofisticados são capazes de recuperar texto oculto em imagens usando o reconhecimento óptico de caracteres (OCR).

Engenharia social

A maioria dos tipos de phishing envolve algum tipo de engenharia social , na qual os usuários são psicologicamente manipulados para executar uma ação, como clicar em um link, abrir um anexo ou divulgar informações confidenciais. Além da óbvia representação de uma entidade confiável, a maior parte do phishing envolve a criação de um senso de urgência - os invasores afirmam que as contas serão encerradas ou apreendidas, a menos que a vítima execute uma ação. Isso ocorre mais frequentemente com contas bancárias ou de seguros das vítimas.

Uma técnica alternativa ao phishing baseado em falsificação de identidade é o uso de artigos de notícias falsos projetados para provocar indignação, fazendo com que a vítima clique em um link sem considerar adequadamente aonde ele pode levar. Esses links são projetados para levá-lo a um site de aparência profissional que se parece exatamente com o site da organização legítima. Uma vez no site do invasor, as vítimas podem ser apresentadas a imitações de notificações de "vírus" ou redirecionadas para páginas que tentam explorar vulnerabilidades do navegador da web para instalar malware.

História

Década de 1980

Uma técnica de phishing foi descrita em detalhes em um artigo e uma apresentação entregue ao 1987 International HP Users Group, Interex.

Década de 1990

O termo "phishing" foi cunhado pelo conhecido spammer e hacker em meados dos anos 90, Khan C. Smith. A primeira menção registrada do termo é encontrada na ferramenta de hacking AOHell (de acordo com seu criador), que incluía uma função para tentar roubar senhas ou detalhes financeiros de usuários do America Online.

Primeiro phishing de AOL

O phishing na AOL estava intimamente associado à comunidade warez que trocava software não licenciado e a cena de hacking de chapéu preto que perpetrava fraude de cartão de crédito e outros crimes online. A aplicação da AOL detectaria palavras usadas nas salas de bate-papo da AOL para suspender as contas de indivíduos envolvidos na falsificação de software e negociação de contas roubadas. O termo foi usado porque "<> <" é a tag HTML mais comum encontrada em todas as transcrições de bate-papo naturalmente e, como tal, não pôde ser detectada ou filtrada pela equipe da AOL. O símbolo <> <foi substituído por qualquer texto que se referisse a cartões de crédito, contas ou atividades ilegais roubados. Como o símbolo parecia um peixe, e devido à popularidade do phreaking , foi adaptado como "Phishing". AOHell , lançado no início de 1995, era um programa projetado para hackear usuários da AOL permitindo que o invasor se passasse por um membro da equipe da AOL e enviasse uma mensagem instantânea a uma vítima em potencial, pedindo-lhe que revelasse sua senha. A fim de induzir a vítima a fornecer informações confidenciais, a mensagem pode incluir imperativos como "verifique sua conta" ou "confirme as informações de faturamento".

Depois que a vítima revelou a senha, o invasor pode acessar e usar a conta da vítima para fins fraudulentos. Tanto o phishing quanto o warezing na AOL geralmente exigiam programas personalizados, como AOHell . O phishing se tornou tão comum na AOL que eles adicionaram uma linha em todas as mensagens instantâneas dizendo: "ninguém que trabalha na AOL pedirá sua senha ou informações de faturamento". Um usuário que usa uma conta AIM e uma conta AOL de um ISP simultaneamente pode fazer phishing em membros da AOL com relativa impunidade, já que contas AIM de internet podem ser usadas por não membros da AOL e não podem ser acionadas (ou seja, denunciado ao departamento de TOS da AOL por questões disciplinares ). No final de 1995, os crackers da AOL recorreram ao phishing para contas legítimas depois que a AOL instaurou medidas no final de 1995 para evitar o uso de números de cartão de crédito falsos gerados por algoritmos para abrir contas. Eventualmente, a aplicação da política da AOL forçou a violação de direitos autorais dos servidores da AOL, e a AOL prontamente desativa contas envolvidas em phishing, muitas vezes antes que as vítimas pudessem responder. O fechamento da cena do warez na AOL fez com que a maioria dos phishers deixasse o serviço.

Década de 2000

  • 2001
  • 2003
    • O primeiro ataque de phishing conhecido contra um banco de varejo foi relatado pelo The Banker em setembro de 2003.
  • 2004
    • Estima-se que, entre maio de 2004 e maio de 2005, aproximadamente 1,2 milhão de usuários de computador nos Estados Unidos sofreram perdas causadas por phishing, totalizando aproximadamente US $ 929 milhões . As empresas dos Estados Unidos perdem cerca de US $ 2 bilhões por ano à medida que seus clientes se tornam vítimas.
    • O phishing é reconhecido como uma parte totalmente organizada do mercado negro. As especializações surgiram em uma escala global que fornecia software de phishing para pagamento (portanto, risco de terceirização), que eram reunidas e implementadas em campanhas de phishing por gangues organizadas.
  • 2005
    • No Reino Unido, as perdas com fraudes bancárias na web - principalmente de phishing - quase dobraram para GB £ 23,2 milhões em 2005, de GB £ 12,2 milhões em 2004, enquanto 1 em cada 20 usuários de computador alegou ter perdido com o phishing em 2005.
  • 2006
    • Quase metade dos roubos de phishing em 2006 foram cometidos por grupos que operam por meio da Russian Business Network com sede em São Petersburgo .
    • Bancos disputam com clientes sobre perdas por phishing. A postura adotada pelo órgão bancário do Reino Unido, APACS, é que "os clientes também devem tomar precauções sensatas ... para que não fiquem vulneráveis ​​ao criminoso". Da mesma forma, quando a primeira onda de ataques de phishing atingiu o setor bancário da República da Irlanda em setembro de 2006, o Banco da Irlanda inicialmente se recusou a cobrir as perdas sofridas por seus clientes, embora perdas da ordem de 113.000 tenham sido compensadas.
    • Os phishers têm como alvo os clientes de bancos e serviços de pagamento online. E-mails, supostamente do Internal Revenue Service , têm sido usados ​​para coletar dados confidenciais dos contribuintes norte-americanos. Embora os primeiros exemplos tenham sido enviados indiscriminadamente na expectativa de que alguns fossem recebidos por clientes de um determinado banco ou serviço, pesquisas recentes mostraram que os phishers podem, em princípio, determinar quais bancos as vítimas em potencial usam e direcionar e-mails falsos de acordo.
    • Os sites de redes sociais são os principais alvos de phishing, uma vez que os dados pessoais nesses sites podem ser usados ​​para roubo de identidade ; no final de 2006, um worm de computador assumiu o controle de páginas no MySpace e alterou links para direcionar os internautas a sites projetados para roubar detalhes de login.
  • 2007
    • 3,6 milhões de adultos perderam US $ 3,2 bilhões nos 12 meses encerrados em agosto de 2007. A Microsoft afirma que essas estimativas são exageradas e estima a perda anual de phishing nos EUA em US $ 60 milhões .
    • Os invasores que invadiram o banco de dados da TD Ameritrade e pegaram 6,3 milhões de endereços de e-mail (embora não tenham sido capazes de obter números de seguridade social, números de contas, nomes, endereços, datas de nascimento, números de telefone e atividades comerciais) também queriam os nomes de usuário das contas e senhas, então eles lançaram um ataque de spear phishing de acompanhamento.
  • 2008
    • O site de compartilhamento de arquivos RapidShare foi alvo de phishing para obter uma conta premium, que remove limites de velocidade em downloads, remoção automática de uploads, espera por downloads e tempos de resfriamento entre uploads.
    • Criptomoedas como Bitcoin facilitam a venda de software malicioso, tornando as transações seguras e anônimas.
  • 2009
    • Em janeiro de 2009, um ataque de phishing resultou em transferências bancárias não autorizadas de US $ 1,9 milhão por meio de contas bancárias online da Experi-Metal.
    • No terceiro trimestre de 2009, o Grupo de Trabalho Antiphishing relatou o recebimento de 115.370 relatórios de e-mail de phishing de consumidores nos Estados Unidos e na China, cada um hospedando mais de 25% das páginas de phishing.

Década de 2010

Relatórios únicos de phishing por ano
Ano Campanhas
2005
173.063
2006
268.126
2007
327.814
2008
335.965
2009
412.392
2010
313.517
2011
284.445
2012
320.081
2013
491.399
2014
704.178
2015
1.413.978
  • 2011
    • Em março de 2011, a equipe interna da RSA foi vítima de phishing com sucesso, fazendo com que as chaves mestras de todos os tokens de segurança RSA SecureID fossem roubados e, posteriormente, usadas para invadir fornecedores de defesa dos EUA.
    • As campanhas de phishing chinesas visavam contas do Gmail de funcionários de alto escalão dos governos e militares dos Estados Unidos e da Coréia do Sul, bem como ativistas políticos chineses.
  • 2012
    • De acordo com Ghosh, houve "445.004 ataques em 2012, em comparação com 258.461 em 2011 e 187.203 em 2010".
  • 2013
    • Em agosto de 2013, o serviço de publicidade Outbrain sofreu um ataque de spear-phishing e o SEA colocou redirecionamentos para os sites do The Washington Post, Time e CNN.
    • Em outubro de 2013, e-mails supostamente da American Express foram enviados a um número desconhecido de destinatários.
    • Em novembro de 2013, 110 milhões de registros de clientes e cartões de crédito foram roubados dos clientes da Target , por meio de uma conta de subcontratada com phishing. O CEO e a equipe de segurança de TI foram demitidos posteriormente.
    • Em dezembro de 2013, o ransomware Cryptolocker havia infectado 250.000 computadores. De acordo com o Dell SecureWorks , 0,4% ou mais dos infectados provavelmente concordaram com o pedido de resgate.
  • 2014
    • Em janeiro de 2014, o Seculert Research Lab identificou um novo ataque direcionado que usava o Xtreme RAT . Este ataque usou e-mails de spear phishing para atingir organizações israelenses e implantar a peça de malware avançado. Quinze máquinas foram comprometidas, incluindo algumas pertencentes à Administração Civil da Judéia e Samaria .
    • Em agosto de 2014, o vazamento de fotos de celebridades no iCloud foi descoberto com base em e-mails de phishing enviados às vítimas que pareciam vir da Apple ou do Google, alertando as vítimas de que suas contas podem estar comprometidas e solicitando os detalhes de suas contas.
    • Em novembro de 2014, os ataques de phishing na ICANN obtiveram acesso administrativo ao Sistema de dados de zona centralizado; também foram obtidos dados sobre os usuários do sistema - e acesso ao wiki público do Comitê Consultivo para Assuntos Governamentais da ICANN, blog e portal de informações whois.
  • 2015
  • 2016
  • Em fevereiro, a empresa aeroespacial austríaca FACC AG foi defraudada em 42 milhões de euros (US $ 47 milhões) por meio de um ataque do BEC - e posteriormente demitiu o CFO e o CEO.
    • A Fancy Bear realizou ataques de spear phishing em endereços de e-mail associados ao Comitê Nacional Democrata no primeiro trimestre de 2016.
    • O Wichita Eagle relatou que " funcionários da KU são vítimas de esquema de phishing, perdem cheques de pagamento"
    • Fancy Bear é suspeito de estar por trás de um ataque de spear phishing em agosto de 2016 contra membros do Bundestag e vários partidos políticos, como o líder da facção Linken, Sahra Wagenknecht , Junge Union e o CDU de Saarland .
    • Em agosto de 2016, a Agência Mundial Antidopagem relatou o recebimento de e-mails de phishing enviados a usuários de seu banco de dados alegando ser WADA oficial, mas consistente com o grupo de hackers russo Fancy Bear. De acordo com a WADA, alguns dos dados que os hackers divulgaram foram falsificados.
    • Poucas horas depois dos resultados da eleição de 2016 nos Estados Unidos , hackers russos enviaram emails de endereços de email falsificados da Universidade de Harvard , usando técnicas semelhantes ao phishing para publicar notícias falsas destinadas aos eleitores americanos comuns.
  • 2017
    • Em 2017, 76% das organizações sofreram ataques de phishing. Quase metade dos profissionais de segurança da informação pesquisados ​​disse que a taxa de ataques aumentou em relação a 2016.
    • No primeiro semestre de 2017, empresas e residentes do Catar foram atingidos por mais de 93.570 eventos de phishing em um período de três meses.
    • Um e-mail de phishing para usuários do Google e do Facebook induziu com sucesso os funcionários a transferirem dinheiro - no valor de US $ 100 milhões - para contas bancárias no exterior sob o controle de um hacker. Desde então, ele foi preso pelo Departamento de Justiça dos Estados Unidos.
    • Em agosto de 2017, os clientes da Amazon enfrentaram o ataque de phishing do Amazon Prime Day, quando hackers enviaram negócios aparentemente legítimos para clientes da Amazon. Quando os clientes da Amazon tentavam fazer compras usando os "negócios", a transação não era concluída, levando os clientes do varejista a inserir dados que poderiam ser comprometidos e roubados.
  • 2018
    • Em 2018, a empresa block.one, que desenvolveu o blockchain EOS.IO , foi atacada por um grupo de phishing que enviava e-mails de phishing para todos os clientes, com o objetivo de interceptar a chave da carteira de criptomoeda do usuário; e um ataque posterior visou tokens de lançamento aéreo.

Década de 2020

  • 2020
    • Em 15 de julho de 2020, o Twitter sofreu uma violação que combinava elementos de engenharia social (segurança) e phishing. Um hacker de 17 anos e cúmplices configuraram um site falso que lembra o provedor de VPN interno do Twitter usado por funcionários que trabalham em casa. Indivíduos se passando por uma equipe de helpdesk ligaram para vários funcionários do Twitter, orientando-os a enviar suas credenciais para o falso site de VPN. Usando os detalhes fornecidos por funcionários desconhecidos, eles foram então capazes de assumir o controle de várias contas de usuário de alto perfil, incluindo Barack Obama , Elon Musk , Joe Biden e a conta da empresa da Apple Inc .. Os hackers enviaram mensagens aos seguidores do Twitter solicitando Bitcoin prometendo o dobro do valor da transação em troca, arrecadando cerca de US $ 117.000 nas primeiras 3 horas do ardil.
Número total de relatórios únicos de phishing (campanhas) recebidos, de acordo com o APWG
Ano Jan Fev Mar Abr Poderia Junho Jul Agosto Set Out Nov Dez Total
2005 12.845 13.468 12.883 14.411 14.987 15.050 14.135 13.776 13.562 15.820 16.882 15.244 173.063
2006 17.877 17.163 18.480 17.490 20.109 28.571 23.670 26.150 22.136 26.877 25.816 23.787 268.126
2007 29.930 23.610 24.853 23.656 23.415 28.888 23.917 25.624 38.514 31.650 28.074 25.683 327.814
2008 29.284 30.716 25.630 24.924 23.762 28.151 24.007 33.928 33.261 34.758 24.357 23.187 335.965
2009 34.588 31.298 30.125 35.287 37.165 35.918 34.683 40.621 40.066 33.254 30.490 28.897 412.392
2010 29.499 26.909 30.577 24.664 26.781 33.617 26.353 25.273 22.188 23.619 23.017 21.020 313.517
2011 23.535 25.018 26.402 20.908 22.195 22.273 24.129 23.327 18.388 19.606 25.685 32.979 284.445
2012 25.444 30.237 29.762 25.850 33.464 24.811 30.955 21.751 21.684 23.365 24.563 28.195 320.081
2013 28.850 25.385 19.892 20.086 18.297 38.100 61.453 61.792 56.767 55.241 53.047 52.489 491.399
2014 53.984 56.883 60.925 57.733 60.809 53.259 55.282 54.390 53.661 68.270 66.217 62.765 704.178
2015 49.608 55.795 115.808 142.099 149.616 125.757 142.155 146.439 106.421 194.499 105.233 80.548 1.413.978
2016 99.384 229.315 229.265 121.028 96.490 98.006 93.160 66.166 69.925 51.153 64.324 95.555 1.313.771
2017 96.148 100.932 121.860 87.453 93.285 92.657 99.024 99.172 98.012 61.322 86.547 85.744 1.122.156
2018 89.250 89.010 84.444 91.054 82.547 90.882 93.078 89.323 88.156 87.619 64.905 87.386 1.040.654
2019 34.630 35.364 42.399 37.054 40.177 34.932 35.530 40.457 42.273 45.057 42.424 45.072 475.369

"Relatórios de tendências de ataques de phishing do APWG" . Recuperado em 5 de maio de 2019 .

Anti-phishing

Existem sites anti-phishing que publicam mensagens exatas que circularam recentemente na Internet, como o FraudWatch International e o Millersmiles. Esses sites geralmente fornecem detalhes específicos sobre mensagens particulares.

Ainda em 2007, a adoção de estratégias anti-phishing por empresas que precisam proteger informações pessoais e financeiras era baixa. Agora, existem várias técnicas diferentes para combater o phishing, incluindo legislação e tecnologia criada especificamente para proteger contra phishing. Essas técnicas incluem etapas que podem ser executadas por indivíduos e também por organizações. Phishing por telefone, site e e-mail agora pode ser denunciado às autoridades, conforme descrito abaixo .

Treinamento de usuário

Quadro de uma animação da Comissão Federal de Comércio dos EUA com o objetivo de educar os cidadãos sobre táticas de phishing.

As pessoas podem ser treinadas para reconhecer tentativas de phishing e lidar com elas por meio de uma variedade de abordagens. Essa educação pode ser eficaz, especialmente onde o treinamento enfatiza o conhecimento conceitual e fornece feedback direto. Portanto, uma parte essencial da estratégia anti-phishing de qualquer organização ou instituição é educar ativamente seus usuários para que eles possam identificar golpes de phishing sem hesitação e agir de acordo. Embora atualmente haja uma falta de dados e histórico registrado que mostre orientação educacional e outras intervenções baseadas em informações reduzam com sucesso a suscetibilidade ao phishing, grandes quantidades de informações sobre a ameaça de phishing estão disponíveis na Internet.

Muitas organizações executam campanhas simuladas de phishing regulares direcionadas a sua equipe para medir a eficácia de seu treinamento. Por exemplo, isso geralmente ocorre no setor de saúde devido ao fato de que os dados de saúde têm um valor significativo como um alvo potencial para hackers. Em um estudo recente feito pela National Library of Medicine, uma avaliação foi realizada como parte da atividade de segurança cibernética durante um período de teste designado usando várias abordagens de coleta de credenciais por e-mail da equipe. Durante o período de teste de 1 mês, a organização recebeu 858 200 e-mails: 139 400 (16%) marketing, 18 871 (2%) identificados como ameaças potenciais. Este é apenas um exemplo das muitas medidas tomadas para combater o phishing na área de saúde.

As pessoas podem tomar medidas para evitar tentativas de phishing, modificando ligeiramente seus hábitos de navegação. Quando contatado sobre uma conta que precisa ser "verificada" (ou qualquer outro tópico usado por phishers), é uma precaução sensata entrar em contato com a empresa de onde o e-mail aparentemente se origina para verificar se o e-mail é legítimo. Como alternativa, o endereço que a pessoa sabe ser o site genuíno da empresa pode ser digitado na barra de endereço do navegador, em vez de confiar em qualquer hiperlink na mensagem de phishing suspeita.

Quase todas as mensagens de e-mail legítimas de empresas para seus clientes contêm informações que não estão prontamente disponíveis para os phishers. Algumas empresas, por exemplo , o PayPal , sempre se dirigem a seus clientes pelo nome de usuário em e-mails, portanto, se um e-mail abordar o destinatário de maneira genérica (" Prezado cliente do PayPal "), provavelmente será uma tentativa de phishing. Além disso, o PayPal oferece vários métodos para determinar emails falsos e aconselha os usuários a encaminhar emails suspeitos para o domínio spoof@PayPal.com para investigar e avisar outros clientes. No entanto, não é seguro presumir que a presença de informações pessoais por si só garante que uma mensagem é legítima, e alguns estudos mostraram que a presença de informações pessoais não afeta significativamente a taxa de sucesso de ataques de phishing; o que sugere que a maioria das pessoas não presta atenção a tais detalhes.

Os e-mails de bancos e empresas de cartão de crédito geralmente incluem números parciais de contas. No entanto, pesquisas recentes mostraram que o público normalmente não distingue entre os primeiros dígitos e os últimos dígitos de um número de conta - um problema significativo, visto que os primeiros dígitos costumam ser os mesmos para todos os clientes de uma instituição financeira.

O Grupo de Trabalho Anti-Phishing , que é uma das maiores organizações anti-phishing do mundo, produz relatórios regulares sobre tendências em ataques de phishing.

O Google postou um vídeo demonstrando como se identificar e se proteger contra golpes de phishing.

Abordagens técnicas

Uma ampla variedade de abordagens técnicas está disponível para evitar que ataques de phishing atinjam os usuários ou para impedir que eles capturem informações confidenciais.

Filtrando e-mail de phishing

Filtros de spam especializados podem reduzir o número de e-mails de phishing que chegam às caixas de entrada de seus destinatários. Esses filtros usam várias técnicas, incluindo aprendizado de máquina e abordagens de processamento de linguagem natural para classificar e-mails de phishing e rejeitar e-mails com endereços falsos.

Navegadores alertando usuários sobre sites fraudulentos

Captura de tela do aviso de site suspeito de phishing do Firefox 2.0.0.1

Outra abordagem popular para combater o phishing é manter uma lista de sites de phishing conhecidos e comparar os sites com a lista. Um desses serviços é o serviço de Navegação segura . Navegadores da Web como Google Chrome , Internet Explorer 7, Mozilla Firefox 2.0, Safari 3.2 e Opera contêm esse tipo de medida anti-phishing. O Firefox 2 usou o software anti-phishing do Google . Opera 9.1 usos viver listas negras de Phishtank , cyscon e GeoTrust , bem como ao vivo listas brancas de GeoTrust. Algumas implementações dessa abordagem enviam as URLs visitadas a um serviço central para serem verificadas, o que tem levantado questões sobre privacidade. De acordo com um relatório da Mozilla no final de 2006, o Firefox 2 foi considerado mais eficaz do que o Internet Explorer 7 na detecção de sites fraudulentos em um estudo realizado por uma empresa independente de teste de software.

Uma abordagem introduzida em meados de 2006 envolve a mudança para um serviço DNS especial que filtra domínios de phishing conhecidos: isso funcionará com qualquer navegador e é semelhante em princípio a usar um arquivo hosts para bloquear anúncios na web.

Para mitigar o problema de sites de phishing se passarem pelo site da vítima incorporando suas imagens (como logotipos), vários proprietários de sites alteraram as imagens para enviar uma mensagem ao visitante de que um site pode ser fraudulento. A imagem pode ser movida para um novo nome de arquivo e o original substituído permanentemente, ou um servidor pode detectar que a imagem não foi solicitada como parte da navegação normal e, em vez disso, enviar uma imagem de aviso.

Aumentando logins de senha

O site do Bank of America é um dos vários que pede aos usuários que selecionem uma imagem pessoal (comercializada como SiteKey ) e exibe essa imagem selecionada pelo usuário com quaisquer formulários que solicitem uma senha. Os usuários dos serviços online do banco são instruídos a inserir uma senha apenas ao visualizar a imagem que selecionaram. No entanto, vários estudos sugerem que poucos usuários evitam inserir suas senhas quando as imagens estão ausentes. Além disso, esse recurso (como outras formas de autenticação de dois fatores ) é suscetível a outros ataques, como os sofridos pelo banco escandinavo Nordea no final de 2005 e pelo Citibank em 2006.

Um sistema semelhante, no qual uma "sugestão de identidade" gerada automaticamente, consistindo de uma palavra colorida dentro de uma caixa colorida, é exibida para cada usuário do site, está em uso em outras instituições financeiras.

As skins de segurança são uma técnica relacionada que envolve a sobreposição de uma imagem selecionada pelo usuário no formulário de login como uma dica visual de que o formulário é legítimo. Ao contrário dos esquemas de imagem baseados em site, no entanto, a imagem em si é compartilhada apenas entre o usuário e o navegador, e não entre o usuário e o site. O esquema também depende de um protocolo de autenticação mútua , o que o torna menos vulnerável a ataques que afetam os esquemas de autenticação somente do usuário.

Outra técnica ainda se baseia em uma grade dinâmica de imagens que é diferente para cada tentativa de login. O usuário deve identificar as fotos que se enquadram nas categorias pré-escolhidas (como cachorros, carros e flores). Somente após terem identificado corretamente as imagens que se enquadram em suas categorias é que eles podem inserir sua senha alfanumérica para completar o login. Ao contrário das imagens estáticas usadas no site do Bank of America, um método de autenticação baseado em imagem dinâmica cria uma senha única para o login, requer a participação ativa do usuário e é muito difícil para um site de phishing replicar corretamente porque faria precisa exibir uma grade diferente de imagens geradas aleatoriamente que inclui as categorias secretas do usuário.

Monitoramento e remoção

Várias empresas oferecem serviços 24 horas por dia a bancos e outras organizações que podem sofrer golpes de phishing para monitorar, analisar e auxiliar no fechamento de sites de phishing. A detecção automatizada de conteúdo de phishing ainda está abaixo dos níveis aceitos para ação direta, com a análise baseada em conteúdo alcançando entre 80 e 90% de sucesso, então a maioria das ferramentas inclui etapas manuais para certificar a detecção e autorizar a resposta. Os indivíduos podem contribuir relatando phishing para grupos de voluntários e do setor, como cyscon ou PhishTank . Páginas da web e e-mails de phishing podem ser relatados ao Google.

Verificação e assinatura da transação

Também surgiram soluções a partir do celular (smartphone) como segundo canal de verificação e autorização de transações bancárias.

Autenticação multifator

As organizações podem implementar a autenticação de dois fatores ou multifator (MFA), que exige que um usuário use pelo menos 2 fatores ao fazer o login (por exemplo, um usuário deve apresentar um cartão inteligente e uma senha ). Isso reduz alguns riscos, no caso de um ataque de phishing bem-sucedido, a senha roubada por si só não pode ser reutilizada para violar ainda mais o sistema protegido. No entanto, existem vários métodos de ataque que podem derrotar muitos dos sistemas típicos. Os esquemas de MFA, como o WebAuthn, tratam desse problema por design.

Redação de conteúdo de e-mail

Organizações que priorizam a segurança sobre a conveniência podem exigir que os usuários de seus computadores usem um cliente de e-mail que edita URLs de mensagens de e-mail, impossibilitando o leitor do e-mail clicar em um link ou mesmo copiar uma URL. Embora isso possa resultar em um inconveniente, elimina quase completamente os ataques de phishing de e-mail.

Limitações de respostas técnicas

Um artigo da Forbes em agosto de 2014 argumenta que a razão pela qual os problemas de phishing persistem mesmo depois de uma década de tecnologias anti-phishing sendo vendidas é que o phishing é "um meio tecnológico para explorar as fraquezas humanas" e que a tecnologia não pode compensar totalmente as fraquezas humanas.

Respostas legais

Instruções em vídeo sobre como registrar uma reclamação junto à Federal Trade Commission

Em 26 de janeiro de 2004, a Comissão Federal de Comércio dos Estados Unidos abriu o primeiro processo contra um suspeito de phisher. O réu, um adolescente californiano , supostamente criou uma página da Web projetada para se parecer com o site da America Online e a usou para roubar informações de cartão de crédito. Outros países seguiram esse exemplo, localizando e prendendo phishers. O chefão do phishing, Valdir Paulo de Almeida, foi preso no Brasil por liderar uma das maiores redes de crimes de phishing , que em dois anos roubou entre US $ 18 milhões e US $ 37 milhões . As autoridades britânicas prenderam dois homens em junho de 2005 por sua participação em um esquema de phishing, em um caso relacionado ao Firewall de Operação do Serviço Secreto dos EUA , que tinha como alvo sites notórios de "carteadores". Em 2006, oito pessoas foram presas pela polícia japonesa sob suspeita de fraude de phishing ao criar sites falsos do Yahoo Japan, que renderam ¥ 100 milhões ( US $ 870.000 ). As prisões continuaram em 2006 com a Operação Cardkeeper do FBI detendo uma gangue de dezesseis nos Estados Unidos e na Europa.

Nos Estados Unidos , o senador Patrick Leahy apresentou a Lei Antiphishing de 2005 no Congresso em 1º de março de 2005. Esse projeto , se tivesse sido promulgado em lei, teria submetido criminosos que criaram sites falsos e enviaram e-mails falsos em ordem defraudar consumidores em multas de até US $ 250.000 e penas de prisão de até cinco anos. O Reino Unido fortaleceu seu arsenal legal contra o phishing com o Fraud Act 2006 , que introduz um delito geral de fraude que pode levar a uma pena de prisão de dez anos e proíbe o desenvolvimento ou posse de kits de phishing com a intenção de cometer fraude.

As empresas também se juntaram ao esforço para reprimir o phishing. Em 31 de março de 2005, a Microsoft moveu 117 ações judiciais federais no Tribunal Distrital dos Estados Unidos para o Distrito Ocidental de Washington . Os processos acusam os réus " John Doe " de obterem senhas e informações confidenciais. Março de 2005 também viu uma parceria entre a Microsoft e o governo australiano ensinando oficiais da lei como combater vários crimes cibernéticos, incluindo phishing. A Microsoft anunciou mais 100 ações judiciais planejadas fora dos Estados Unidos em março de 2006, seguidas pelo início, em novembro de 2006, de 129 ações judiciais combinando ações criminais e civis. A AOL reforçou seus esforços contra o phishing no início de 2006 com três ações judiciais buscando um total de US $ 18 milhões sob as emendas de 2005 à Lei de Crimes Informáticos da Virgínia, e a Earthlink juntou-se a eles ajudando a identificar seis homens posteriormente acusados ​​de fraude de phishing em Connecticut .

Em janeiro de 2007, Jeffrey Brett Goodin, da Califórnia, foi o primeiro réu condenado por um júri de acordo com as disposições da Lei CAN-SPAM de 2003 . Ele foi considerado culpado de enviar milhares de e-mails para usuários da America Online, enquanto se fazia passar pelo departamento de cobrança da AOL, o que fazia com que os clientes enviassem informações pessoais e de cartão de crédito. Enfrentando a possibilidade de 101 anos de prisão pela violação do CAN-SPAM e dez outras acusações, incluindo fraude eletrônica , uso não autorizado de cartões de crédito e uso indevido da marca registrada da AOL, ele foi condenado a 70 meses de prisão. Goodin estava sob custódia desde que não compareceu a uma audiência anterior e começou a cumprir sua pena imediatamente.

Veja também

Referências

links externos