Em 2023, nada menos que 94% das empresas foram afetadas por ataques de phishing, um aumento de 40% em comparação ao ano anterior, de acordo com pesquisa da Egress.
O que está por trás do aumento do phishing? Uma resposta common é a IA – particularmente a IA generativa, que tornou trivialmente mais fácil para os agentes de ameaças criarem conteúdo que eles podem usar em campanhas de phishing, como e-mails maliciosos e, em casos mais sofisticados, vídeos deepfake. Além disso, a IA pode ajudar a escrever o malware que os agentes de ameaças geralmente plantam nos computadores e servidores de suas vítimas como parte de campanhas de phishing.
Phishing as a Service, ou PhaaS, é outro desenvolvimento às vezes citado para explicar por que as ameaças de phishing estão em alta. Ao permitir que partes maliciosas contratem invasores habilidosos para realizar campanhas de phishing para elas, o PhaaS torna fácil para qualquer um com rancor – ou um desejo de exfiltrar algum dinheiro de vítimas desavisadas – lançar ataques de phishing.
O phishing se tornou ágil
Uma verdadeira compreensão do que está por trás do aumento do phishing requer uma análise de como os agentes de ameaças estão usando IA e PhaaS para operar de novas maneiras – especificamente, respondendo mais rapidamente a eventos em mudança.
No passado, o tempo e o esforço necessários para criar conteúdo de phishing manualmente (em oposição ao uso de IA generativa) tornavam desafiador para os agentes de ameaças capitalizar eventos inesperados para lançar campanhas de alto impacto. Da mesma forma, sem soluções PhaaS, grupos que queriam atingir uma organização com phishing muitas vezes não tinham uma maneira rápida e fácil de iniciar um ataque. Desenvolvimentos recentes, no entanto, sugerem que isso está mudando.
Veja as tendências de TTPs de phishing e representação no Guide de proteção contra phishing e representação
Ataques de phishing direcionados a eventos em evolução
O phishing tem o hábito de se agarrar a eventos atuais no mundo para tirar vantagem da excitação ou do medo em torno desses eventos. Isso é especialmente verdadeiro quando se trata de eventos em evolução, como a “Tela Azul da Morte” (BSOD) da CrowdStrike.
Phishing após o BSOD da CrowdStrike
A CrowdStrike, fornecedora de segurança cibernética, lançou uma atualização com bugs em 19 de julho que impediu que as máquinas Home windows inicializassem corretamente e deixou os usuários diante da infame Tela Azul da Morte (BSOD).
A CrowdStrike corrigiu o problema relativamente rápido – mas não antes que os agentes de ameaças começassem a lançar campanhas de phishing projetadas para tirar vantagem de indivíduos e empresas que buscavam uma resolução para a falha. No primeiro dia após o incidente da CrowdStrike, a Cyberint detectou 17 domínios de typo-squatting relacionados a ele. Pelo menos dois desses domínios estavam copiando e compartilhando a correção alternativa da Crowdstrike no que aparentemente period um esforço para solicitar doações by way of PayPal. Ao seguir as migalhas de pão, a Cyberint rastreou a página de doações até um engenheiro de software program chamado Aliaksandr Skuratovich, que também postou o website em sua página do LinkedIn.
Esforços para lucrar coletando doações para uma correção que se originou em outro lugar estavam entre os esforços mais brandos para tirar vantagem do incidente CrowdStrike. Outros domínios typosquatted alegaram oferecer uma correção (que estava disponível gratuitamente no CrowdStrike) em troca de pagamentos de até 1.000 euros. Os domínios foram retirados, mas não antes que as organizações fossem vítimas deles. A análise da Cyberint mostra que a carteira de criptomoedas vinculada ao esquema arrecadou cerca de 10.000 euros.
Ataques de phishing em resposta a eventos planejados
Quando se trata de eventos planejados, os ataques costumam ser mais diversos e detalhados. Os atores da ameaça têm mais tempo para se preparar do que na sequência de eventos inesperados, como a indisponibilidade do CrowdStrike.
Phishing nas Olimpíadas
Ataques de phishing relacionados às Olimpíadas de 2024 em Paris também demonstraram a capacidade dos agentes de ameaças de executar campanhas mais eficazes ao vinculá-las a eventos atuais.
Como exemplo de ataques nessa categoria, a Cyberint detectou e-mails de phishing alegando que os destinatários haviam ganhado ingressos para os Jogos e que, para retirá-los, eles precisavam fazer um pequeno pagamento para cobrir a taxa de entrega.
No entanto, se os destinatários inserissem suas informações financeiras para pagar a taxa, os invasores as usavam para se passar por vítimas e fazer compras usando suas contas.
Em outro exemplo de phishing vinculado às Olimpíadas, agentes de ameaças registraram em março de 2024 um website de aparência profissional alegando oferecer ingressos para venda. Na verdade, period uma fraude.
Embora o website não fosse muito antigo e, portanto, não tivesse uma autoridade forte com base em sua história, ele ficou próximo ao topo das pesquisas do Google, aumentando a probabilidade de que as pessoas que buscavam comprar ingressos para as Olimpíadas on-line caíssem na armadilha.
Phishing e futebol
Ataques semelhantes ocorreram durante o campeonato de futebol UEFA Euro 2024. Mais notavelmente, os agentes de ameaças lançaram aplicativos móveis fraudulentos que se passavam pela UEFA, a associação esportiva que organizou o evento. Como os aplicativos usavam o nome e o logotipo oficiais da organização, presumivelmente period fácil para algumas pessoas presumir que eram legítimos.
Vale a pena notar que esses aplicativos não estavam hospedados nas lojas de aplicativos administradas pela Apple ou Google, que normalmente detectam e derrubam aplicativos maliciosos (embora não haja garantia de que o farão rápido o suficiente para evitar abusos). Eles estavam disponíveis por meio de lojas de aplicativos de terceiros não regulamentadas, tornando-os um pouco mais difíceis de serem encontrados pelos consumidores – mas a maioria dos dispositivos móveis não teria controles para bloquear os aplicativos se um usuário navegasse até uma loja de aplicativos de terceiros e tentasse baixar software program malicioso.
Phishing e eventos recorrentes
Quando se trata de eventos recorrentes, os phishers também sabem como tirar vantagem das situações para lançar ataques poderosos.
Por exemplo, fraudes de vale-presente, golpes de não pagamento e recibos de pedidos falsos aumentam durante a temporada de festas. Assim como golpes de phishing que tentam atrair vítimas para se candidatarem a empregos sazonais falsos em uma tentativa de coletar suas informações pessoais.
Os feriados criam uma tempestade perfeita para phishing devido ao aumento de compras on-line, ofertas atraentes e uma enxurrada de e-mails promocionais. Os golpistas exploram esses fatores, levando a danos financeiros e de reputação significativos para as empresas.
Quando se trata de phishing, o momento é importante
Infelizmente, a IA e o PhaaS tornaram o phishing mais fácil, e devemos esperar que os agentes de ameaças continuem adotando esse tipo de estratégia.
Consulte o Guide de Proteção contra Phishing e Representação para conhecer as estratégias que empresas e indivíduos podem adotar.
No entanto, as empresas podem prever picos de ataques em resposta a acontecimentos específicos ou (no caso de campanhas recorrentes de phishing) épocas do ano e tomar medidas para mitigar o risco.
Por exemplo, eles podem educar funcionários e consumidores a serem extremamente cautelosos ao responder a conteúdo associado a um evento atual.
Embora a IA e o PhaaS tenham twister o phishing mais fácil, empresas e indivíduos ainda podem se defender contra essas ameaças. Ao entender as táticas usadas pelos agentes de ameaças e implementar medidas de segurança eficazes, o risco de ser vítima de ataques de phishing pode ser reduzido.
