Phishing, um dos mais comuns ataques virtuais, termo que varia do inglês “fishing” (pescar), é o ato de enviar um email para um destinatário, alegando, falsamente, ser uma fonte credível, como uma empresa, numa tentativa de conseguir informações pessoais e importantes, que serão utilizadas, posteriormente, para fins indesejáveis.
Assim, se os utilizadores “morderem” o isco e clicarem no link, são enviados para uma outra página onde são requisitadas as credenciais de acesso. Ao fornecer estas informações, está a dar todos os seus dados aos atacantes. Da mesma forma, poderá contaminar o seu device com algum vírus.
O conceito em estudo surge da junção de Phreaking + fishing = Phishing.
Este tipo de ataque é composto por três fases:
- O ataque chega via comunicação eletrónica, como email ou telefone;
- O hacker finge a sua identidade, fazendo-se passar por uma organização credível;
- O objetivo é, então, obter informações pessoais e confidenciais.
Deste modo, o método de operar é idêntico, sendo enviado, via email, redes sociais, sms ou outro vetor, um texto, cujo objetivo passa pela abertura de um link, fazer download ao anexo, enviar informações confidenciais ou, ainda, atualização de informações pessoais como passwords, números de cartões de crédito, contas dos bancos, entre outros e, por vezes, é incitado o pagamento.
O Phishing, na sua maioria, tem como principal finalidade o roubo de identidade, dados ou de dinheiro. Ainda existem casos, normalmente mais comum nas redes sociais, em que o hacker cria um perfil falso, cria uma relação com a vítima e, após chegar ao ponto de que necessita, ataca e obtém tudo aquilo que quer. Neste caso, para além dos danos financeiros e pessoais, há danos psicológicos que levam à falta de confiança por parte da vítima.
Tipos de Phishing:
Phishing por Email
O método mais comum, contendo, geralmente, links que direcionam a sites maliciosos ou a descarregar anexos que contêm malware.
Phishing nos Sites
Igualmente conhecidos como sites falsificados, uma vez que são cópias falsas de sites reais e reconhecidos como confiáveis. Assim, nestes novos sites, as vítimas são coagidas a inserir as credenciais de login, para que possam ter acesso à sua conta.
Vishing
É a versão de áudio de voz. Aqui, o hacker tenta convencer a vítima por telefone a divulgar as suas informações pessoais, crendo tratar-se de uma entidade acreditada, para que, posteriormente, possa roubar a identidade do indivíduo. Podem, ainda, fazer ameaças, assustando a vítima, insistindo na partilha dos dados não só pessoais, como bancários.
Smishing
Versão via sms, onde o lesado recebe uma mensagem de texto que solicita o clique num link ou do donwload de uma aplicação. Contudo, ao proceder a um destes passos, são desviadas as suas informações pessoais.
Pharming
Phishing que corrompe o DNS (sistema que traduz os números dos IP´s em nomes de domínio), sendo, deste modo, os utilizadores direcionados para uma página falsa, induzindo ao fornecimento de informações sigilosas.
Phishing nas Redes Sociais
Alguns hackers tentam a sua sorte via redes sociais, criando correntes para que a sua rede de contactos a continue a partilhar. Ainda, e como referido anteriormente, são criados perfis falsos para poderem colocar em prática o método Phishing. Pode, também, tomar a forma de campanhas imperdíveis.
Gama de ataques Phishing:
Phishing Enganoso
Ocorre quando os hackers se disfarçam de empresas ou indivíduos legítimos para conseguir a sua confiança.
Blind Phishing
Ataque sem estudo prévio, onde é enviado um email genérico e com um título chamativo, esperando que alguém abra o email e/ou clique no link.
Spear Phishing
Ataques personalizados de Phishing com o propósito de atingir um indivíduo ou entidade específica. Este tipo de assalto requer um conhecimento preexistente, para que, posteriormente, possam combinar todas as informações que possuem, a fim de criar um email credível.
Whaling
Ataque de Phishing que visa um determinado indivíduo mas que possua um certo valor monetário e na sociedade, sendo considerado de alto nível.
Fraude de CEO
Phishers passam por CEO´s de uma empresa ou outro indivíduo de alto escalão, para que desta forma possam extrair informações de pagamento ou outras informações privilegiadas dos funcionários. Este tipo de ataque ocorre, frequentemente, a par com o Whaling dado que, a este ponto, o hacker já teve acesso às credenciais de login.
Dropbox e Google Docs Phishing
Serviços de cloud populares para este tipo de ataques. Neste caso, os hackers ativam versões falsificadas das telas de login, roubando as identidades das vítimas quando estas digitam as suas informações de acesso, tendo, assim, entrada direta para todas as suas informações pessoais.
Clone Phishing
Os invasores duplicam um email legítimo, enviando como se de um email seguro se tratasse. Porém, os links que provinham no email foram alterados para links maliciosos, sendo disfarçados por elementos verdadeiros. De seguida, os indivíduos voltam à página original sem que se tenham apercebido de nada. Assim, o phisher disfarça-se da vítima para conseguir mais informações de outras pessoas.
Manipulação de Links
Os links são alterados, dando a ideia de que vão ter a um lugar quando, na verdade, vão ter a outro duvidoso. Este truque é visível pela inclusão não só de erros ortográficos, como também da exibição do nome de um site confiável.
Scripting entre Sites
Difícil de detetar uma vez que dá a ilusão de ser credível em todos os aspetos físicos. Porém, os hackers exploram os pontos fracos nos scripts de um site para o poder sequestrar.
Esquema Nigeriano/419
Alguém afirma ser um príncipe nigeriano ou um membro do governo, que necessita de auxílio para transferir uma grande quantia de dinheiro para fora da Nigéria. O email vem assinalado como urgente ou privado e o remetente pede ao destinatário para este lhe fornecer os números das contas para que lhe possa guardar os fundos. O 419 sugere este tipo de ataque uma vez que é referente ao código penal nigeriano relativo a fraude.
Como detetar um email Phishing:
- Erros gramaticais ou ortográficos;
- Links estranhos ou anexos suspeitos;
- Argumentos alarmantes ou que instigam a curiosidade;
- Mensagens que alegam ser provenientes de bancos, entidades do governo, referentes a cartões de crédito, envolvendo notícias ou acontecimentos recentes, promessas de revelações, prémios, recompensas e heranças, mensagem enviada por engano e envolvendo redes sociais.
A ActiveSys pode ajudar com soluções de segurança para que o Phishing não seja um problema para si, através da Proteção e Gestão da Informação | ActiveSys – Consulting and Services, Lda e da Segurança | ActiveSys – Consulting and Services, Lda.
A ActiveSys mantém-no informado e seguro.