Há muitas diferenças entre ataques de phishing, spear phishing e engenharia social, mas eles são frequentemente usados de forma intercambiável e incorreta. Isso gera alguma confusão quando as pessoas estão descrevendo ataques e planejando a defesa. É importante entender esses tipos de ataque.
Em nossa análise das 5 agonias dos ataques cibernéticos, destacamos que 60% das empresas relataram ter sido vítimas de ataques de engenharia social no ano anterior e 61% consideraram o spear phishing como uma das ameaças mais significativas enfrentadas atualmente. Outros relatórios mostram que 91% de todos os ataques cibernéticos começam com uma campanha de phishing ou spear phishing, e a Proofpoint constatou que 99,7% dos documentos usados em campanhas baseadas em anexos dependiam de engenharia social e macros.
Entendeu? Ótimo. A equipe Graphus algumas definições claras sobre phishing, spear phishing e engenharia social. Também incluímos alguns exemplos e acrescentamos o termo “whaling” como bônus. Um entendimento comum desses termos pode ajudar as equipes de TI e os executivos a se comunicarem com mais clareza e a se coordenarem melhor na defesa contra as formas mais comuns de ataques cibernéticos bem-sucedidos.
O que é phishing?
Os golpes de phishing tradicionais lançam uma ampla rede na esperança de capturar algumas vítimas incautas. Normalmente, o alvo recebe um e-mail que parece legítimo e avisa que a pessoa precisa fazer login em um site para realizar determinada ação. O e-mail conterá um link para o que parece ser um site legítimo e a vítima será solicitada a inserir os detalhes de sua conta. Uma vez inseridos, o criminoso cibernético usará essas informações para roubar, cometer fraudes ou obter informações ainda mais valiosas. A estratégia de ataque é entrar em contato com um grande volume de vítimas em potencial na esperança de identificar algumas que clicarão no link e cairão no golpe.
Quais são alguns exemplos de phishing?
Os ataques de phishing geralmente envolvem um anexo malicioso ou um link malicioso para um site comprometido. A Ars Technica informou sobre vários ataques de ransomware iniciados por phishing em 2016 contra hospitais.
"Março não foi um bom mês para a TI hospitalar. Na semana passada, a equipe do Methodist Hospital em Henderson, Kentucky, pagou um resgate para restaurar os sistemas do hospital, supostamente de US$ 17.000, embora fontes familiarizadas com o episódio digam que o hospital pagou muito mais. E na Califórnia, dois hospitais operados pela Prime Healthcare Management, Inc. foram forçados a desligar os sistemas. O ataque de ransomware da Prime também causou interrupções de serviço em vários outros hospitais e em prestadores de serviços afiliados, pois os sistemas compartilhados foram colocados off-line... Os ataques de ransomware do Methodist Hospital e da Prime Healthcare foram realizados por meio de e-mails de "phishing"."
O que é Spear Phishing?
Por outro lado, o spear phishing trata de um pequeno número de contatos que proporcionam uma alta taxa de conversão. Os spear phishers obtêm informações privadas pesquisando o histórico de indivíduos e empresas em mídias sociais, sites corporativos e outras informações disponíveis publicamente. Os criminosos cibernéticos usam essas informações direcionadas para convencer a vítima a executar uma tarefa ou compartilhar informações.
Quais são alguns exemplos de Spear Phishing?
Um artigo recente do site de notícias local de Berks County, Pensilvânia, fornece um bom exemplo.
““A Weidenhammer foi vítima de um ataque de spear phishing que resultou na transferência de 100% dos nossos formulários W-2 de 2016 para um destinatário desconhecido”, informou o fundador da Weidenhammer Systems Corporation aos funcionários em 2017. “Vocês devem presumir que seu número de Seguro Social, seu endereço residencial, seus rendimentos de 2016 e todas as retenções fiscais que constariam no formulário W-2 foram comprometidos.”
"Os criminosos já começaram a usar as informações para apresentar declarações de imposto de renda federais e estaduais fraudulentas para 2016, solicitar empréstimos para aquisição de casa própria e abrir/fraudar contas de cartão de crédito", disse John Weidenhammer.
Este exemplo ilustra a rapidez com que um golpe de spear phishing pode enganar os funcionários de uma empresa. No entanto, o perigo mais comum é aquele que afeta diretamente as finanças ou a propriedade intelectual da empresa. O Infosec Institute registrou detalhes de outro ataque de spear phishing contra a Ubiquiti Networks em 2015.
“O potencial destrutivo de um ataque de spear phishing para uma empresa fica claramente demonstrado no caso da Ubiquiti Networks Inc., uma empresa americana de tecnologia de rede voltada para provedores de serviços e grandes empresas. Em junho de 2015, a empresa sofreu um prejuízo de US$ 46,7 milhões devido a um e-mail de spear phishing. Um relatório da Comissão de Valores Mobiliários dos Estados Unidos (SEC) mostra que o ataque foi realizado por meio de ‘falsificação de identidade de funcionários e solicitações fraudulentas de uma entidade externa direcionadas ao departamento financeiro Company.”
O que é a caça às baleias?
Esse é um termo mais recente e é simplesmente um ataque de spear phishing direcionado a executivos seniores, as baleias. O whaling pode se assemelhar ao spear phishing ou à engenharia social, mas se distingue por quem é o alvo na organização. Os executivos podem precisar de algum treinamento adicional para identificar esses tipos de ataques e certamente precisam de alguma proteção adicional de soluções tecnológicas que possam evitar incidentes antes que eles ocorram. Se você está protegido contra spear phishing, pode presumir que também está protegido contra Whaling.
O que é um exemplo de caça às baleias?
Um exemplo de whaling ocorrido em 2016 envolve a Snap, empresa de redes sociais de grande visibilidade, conhecida por seu popular aplicativo Snapchat. A Digital Guardian apresentou este resumo do ataque.
No início de 2016, o aplicativo de mídia social Snapchat foi vítima de um ataque whaling quando um funcionário de alto escalão recebeu um e-mail de um criminoso cibernético que se fez passar pelo CEO e foi enganado para revelar informações sobre a folha de pagamento dos funcionários.
Um ataque de 2015 teve como alvo a Mattel, a mundialmente famosa fabricante da Barbie e de outros brinquedos. A CBS News informou:
"O e-mail parecia normal: uma solicitação de rotina do executivo-chefe da Mattel para o pagamento de um novo fornecedor para a China... A executiva financeira que recebeu a mensagem estava naturalmente ansiosa para agradar seu novo chefe. Ela verificou duas vezes o protocolo. As transferências de fundos exigiam a aprovação de dois gerentes de alto escalão. Ela se qualificou e o CEO também... Satisfeita, a executiva transferiu mais de US$ 3 milhões para o Bank of Wenzhou, na China. Horas depois, ela mencionou o pagamento a Sinclair. Mas ele não havia feito nenhuma solicitação desse tipo."
O que é engenharia social?
Enquanto os esquemas de phishing normalmente se baseiam em e-mails, anexos e páginas da Web para capturar dados privados, a engenharia social pode usá-los, o telefone ou qualquer número de métodos diferentes. A engenharia social envolve a manipulação psicológica de pessoas para que divulguem informações ou tomem medidas inadequadas. Muitas vezes, as vítimas não têm ideia de que fizeram algo errado até que a fraude seja exposta mais tarde. Assim como o spear phishing, os ataques de engenharia social são altamente direcionados a um pequeno número de vítimas em potencial.
Quais são alguns exemplos de ataques de engenharia social?
Um artigo do USA Today descreve uma técnica de ataque de engenharia social usada em 2016 em um artigo recente.
“Numa das versões mais recentes desse golpe, os criminosos, fingindo ser advogados, entram em contato com executivos de empresas selecionadas, alegando que estão lidando com assuntos importantes, confidenciais ou extremamente urgentes, e usam pressão psicológica para induzir o executivo a transferir os fundos para os golpistas.”
Outro exemplo é cortesia do Smartfile. Ele descreve um ataque ao FBI usando uma técnica simples de engenharia social iniciada por meio de uma chamada telefônica.
"'Então, liguei para o [helpdesk] e disse que era novato e que não sabia como passar pelo [portal]', disse o hacker à Motherboard. 'Eles perguntaram se eu tinha um código de token, eu disse que não, eles disseram que tudo bem - basta usar o nosso. Eu cliquei nele e tive acesso total ao computador".
“Logo depois disso, 20.000 registros do FBI e 9.000 do Departamento de Segurança Interna foram divulgados ao público. O hacker acessou nomes de funcionários e até mesmo informações de cartões de crédito. Usando o padrão de custo por violação de registro da IBM de 2015 (US$ 170 por registro com base em atividade maliciosa), isso representa uma perda de quase US$ 5 milhões durante uma conversa telefônica de 2 minutos. Provavelmente o valor foi maior, dada a quantidade de dados de cartões de crédito e as implicações ainda desconhecidas dos dados de segurança nacional que foram acessados.”
O que há de comum entre esses ataques?
Todas essas técnicas podem levar ao comprometimento das credenciais de contas, ao uso de links maliciosos ou de malware como parte dos ataques. Muitas violações de segurança da informação envolvem múltiplas ferramentas, técnicas e procedimentos (TTP), como diz o ditado do setor. No entanto, a maioria delas começa com um simples e-mail. Phishing, spear phishing, whaling e engenharia social são normalmente utilizados como pontos de entrada para iniciar um ataque ou como pontos de escalada para acessar mais facilmente informações valiosas ou executar ações mais prejudiciais.
Além disso, todas elas envolvem técnicas de invasão que nem mesmo os melhores sistemas de prevenção de intrusões e detecção em terminais conseguem impedir. São os seus funcionários que estão deixando essas pessoas entrarem pela porta da frente. Às vezes, são os próprios funcionários que, sem saber, estão cometendo o roubo em nome do criminoso.
Graphus você a avaliar a confiança e a evitar violações
Graphus uma maneira de impedir quase todos esses ataques, identificando indicadores conhecidos de fraude E construindo um gráfico de relações confiáveis entre seus funcionários e o mundo exterior. Isso vai muito além da segurança de e-mail oferecida pelo Google ou do treinamento antiphishing. Ambas as soluções ajudam, mas permitem que um número excessivo de ataques passe despercebido. Um relatório da ISMG sugere que 65% de todos os ataques de engenharia social estão conseguindo contornar essas defesas tradicionais. O uso da teoria dos grafos, juntamente com aprendizado de máquina e algoritmos de big data, permite Graphus elimine ataques de spear phishing e de engenharia social.
