O phishing continua evoluindo com novas táticas para enganar os usuários e comprometer suas informações. Neste ano, queremos destacar três tendências que se sobressaem no cenário dos ciberataques: o crescimento do smishing, o aumento do uso de hospedagem em nuvem para phishing e a inteligência artificial como ferramenta para ataques mais sofisticados.
O smishing, uma variante do phishing que utiliza mensagens de texto (SMS) para enganar os usuários, representou 39% das ameaças à telefonia móvel em 2024. De acordo com a Proofpoint, esse tipo de ataque teve um crescimento de mais de 300% desde 2023.
Os atacantes se passam por bancos, empresas de entregas, órgãos governamentais, entre outros, para induzirem as vítimas a clicarem em links maliciosos e inserirem informações pessoais ou baixarem programas maliciosos em seus dispositivos.
Os ataques de smishing são uma forma de engenharia social, pois utilizam técnicas para manipular as pessoas a revelarem informações confidenciais ou realizarem ações sem uma reflexão prévia.
Como funciona?
Os atacantes enviam uma mensagem de texto que parece vir de uma fonte legítima, como um banco, uma empresa de entregas ou um órgão governamental.
A mensagem geralmente inclui um link malicioso que direciona para uma página falsa, um número de telefone fraudulento para enganar a vítima e um texto urgente criado para gerar medo ou pressão, como “Sua conta será bloqueada se você não atualizar seus dados agora”.
Fatores de sucesso do smishing
Escala: existem mais de 6 bilhões de assinantes de telefonia móvel no mundo. De acordo com o Banco Mundial, o número de assinaturas móveis supera a população mundial, o que pode ocorrer porque muitas pessoas possuem várias linhas móveis.
Taxa: as taxas de cliques em SMS giram em torno de 20%, em comparação com 3-5% nos e-mails.
Confiança nos SMS: as pessoas tendem a confiar mais em mensagens de texto do que em e-mails, pois os SMS são associados a comunicações pessoais. Além disso, confiam nas operadoras.
Imediatismo e urgência: as mensagens de smishing incluem o fator de urgência para que a vítima aja rapidamente, sem tempo para pensar e analisar a situação.
Personalização e credibilidade: as mensagens de smishing podem conter informações pessoais da vítima, o que aumenta sua credibilidade.
Recomendações para evitar ser vítima de um Smishing
- Não confiar em mensagens inesperadas, especialmente de números desconhecidos.
- Evitar clicar em links recebidos por SMS, pois podem levar a sites maliciosos.
- Verificar a identidade do remetente. Se receber uma mensagem de texto de uma empresa ou entidade, confirme sua autenticidade entrando em contato diretamente por um canal oficial (telefone, e-mail, site).
- Nunca forneça informações pessoais ou financeiras por mensagens de texto ou qualquer outro meio. Nenhuma organização solicitará informações confidenciais dessa forma.
- Reporte as mensagens de smishing ao CSIRT da empresa ou entidade que está sendo falsificada.
2. Phishing em hosting na nuvem
Cada vez mais cibercriminosos hospedam seus sites de phishing em redes de hospedagem na nuvem, o que lhes permite se expandirem rapidamente e driblar bloqueios. Em 2024, 77% dos sites de phishing foram hospedados em infraestruturas na nuvem, segundo a Netcraft.
De acordo com um estudo da Interisle, o Cloudflare continua sendo a rede mais utilizada para hospedar sites de phishing pelo terceiro ano consecutivo.
Os cibercriminosos registram em massa domínios semelhantes aos de organizações legítimas, que são posteriormente utilizados em campanhas massivas de phishing. O sucesso dessa prática se deve ao amplo alcance das vítimas e à dificuldade de detecção pelos sistemas de segurança.
3. Phishing com IA: personalizados e precisos
Os ataques de phishing impulsados por IA estão aumentando e se tornando mais difíceis de detectar, pois os atacantes utilizam IA para criar mensagens, sejam escritas ou faladas, que parecem ter sido geradas por humanos.
Segundo a Zscaler ThreatLabs, esses ataques cresceram significativamente, dificultando a atuação dos sistemas de segurança tradicionais para bloqueá-los.
Um relatório da Comcast Business indica que entre 80% e 95% dos ataques cibernéticos começam com um ataque de phishing. Além disso, desde o surgimento do ChatGPT em 2022, o volume total de ataques de phishing aumentou 4%, segundo a SlashNext.
Espera-se que os ataques de phishing baseados em IA, como os deepfakes de phishing direcionado (whaling), dobrem em frequência entre 2024 e 2025, de acordo com projeções do FBI IC3. Isso reflete a crescente sofisticação e o uso de ferramentas de IA na cibercriminalidade.
Recomendações
Para mitigar os riscos do phishing, é fundamental que as organizações implementem medidas de segurança robustas e promovam uma cultura de segurança online.
No CSIRT LACNIC, promovemos a capacitação em segurança, educando funcionários, colaboradores e nossa comunidade-alvo sobre como identificar tentativas de phishing e smishing, além de relatar eventos de segurança para que as equipes de resposta a incidentes possam gerenciá-los imediatamente.
Deixo aqui algumas recomendações.
Do ponto de vista de uma organização.
- Capacitar os funcionários – Ensinar a identificar e relatar tentativas de phishing, incluindo atividades como simulações.
- Implementar a Autenticação Multifator (MFA) – Utilizar MFA para acessos a infraestruturas, sistemas, dados corporativos e informações pessoais.
- Manter os sistemas atualizados – Aplicar as atualizações de segurança assim que forem disponibilizadas. Caso não seja possível, devem ser implementadas medidas de mitigação.
- Implementar monitoramento dos sistemas para detectar atividades suspeitas de forma proativa.
- Ter uma equipe CSIRT e um plano de gestão de incidentes.
Do ponto de vista do usuário:
- Usar senhas fortes e ativar a autenticação de dois fatores sempre que possível.
- Utilizar um gerenciador de senhas.
- Não reutilizar credenciais de acesso em diferentes plataformas.
- Fazer backup das informações armazenadas em diferentes locais, garantindo que eles não estejam interligados.
- Evitar acessar links de sites desconhecidos ou baixar anexos de e-mails de remetentes desconhecidos.
- Não baixar software pirata.
- Manter os sistemas atualizados e realizar as atualizações apenas por meio dos sites oficiais.
O phishing continua evoluindo, por isso é fundamental que tanto usuários quanto organizações permaneçam atentos e adotem medidas de proteção adequadas.
