Ataques de phishing aumentam e estão mais sofisticados 

• Os ataques de phishing, aqueles em que um cibercriminoso envia uma mensagem enganosa com o objectivo de induzir o usuário a fornecer informações confidenciais, como números de cartão de crédito ou lançar malware no sistema do usuário, estão a aumentar
• Houve um aumento de 61% na taxa de ataques de phishing nos seis meses encerrados em Outubro de 2022 em comparação com o ano anterior.
• Os ataques também estão a se tornar mais sofisticados e estão se alastrar para além dos e-mails para mensagens de texto e outras formas de comunicação pessoal.

O phishing está a aumentar e qualquer pessoa que use e-mail, mensagens de texto e outras formas de comunicação é uma vítima em potencial. 

Esses ataques, nos quais um cibercriminoso envia uma mensagem enganosa projectada para induzir o usuário a fornecer informações confidenciais, como números de cartão de crédito ou lançar malware no sistema do usuário, podem ser extremamente eficazes se bem executados. 

Esses tipos de ataques tornaram-se cada vez mais sofisticados – tornando-os mais perigosos – e mais comuns. 

Um estudo de Outubro de 2022 do provedor de segurança de mensagens SlashNext analisou biliões de URLs baseados em links, anexos e mensagens em linguagem natural em canais de e-mail, dispositivos móveis e navegadores durante um período de seis meses e encontrou mais de 255 milhões de ataques. Isso representa um aumento de 61% na taxa de ataques de phishing em comparação com 2021.

O estudo revelou que os cibercriminosos estão a transferir os seus ataques para canais de comunicação móveis e pessoais para atingir os usuários. Ele mostrou um aumento de 50% nos ataques a dispositivos móveis, com golpes e roubo de credenciais no topo da lista de cargas úteis. 

“O que temos visto é um aumento no uso de correio de voz e texto como parte de campanhas duplas de phishing e BEC [compromisso de e-mail comercial] ”, disse Jess Burn, analista sénior da Forrester Research. “Os invasores deixam uma mensagem de voz ou enviam um texto sobre o e-mail que enviaram, seja dando credibilidade ao remetente ou aumentando a urgência da solicitação”. 

A empresa está a receber muitas consultas de clientes sobre ataques BEC em geral, disse Burn. “Com conflitos geopolíticos a interromper a actividade de gangues de ransomware , a criptomoeda é método preferido de pagamento de resgate

Os cibercriminosos estão de voltan à velha fraude para ganhar dinheiro”, disse Jess Burn, tendo acrescentado ainda que “o BEC está em ascensão.” 

Criminosos usam ataques de phishing em períodos de pagamentos de impostos, ofertas de compras

Uma das iterações de phishing que as pessoas precisam conhecer é o spearphishing, uma forma mais direccionada de phishing que geralmente usa iscas tópicas.

“Embora não seja uma táctica nova, os tópicos e temas podem evoluir com eventos mundiais ou mesmo sazonais”, disse Luke McNamara, analista principal da consultoria de segurança cibernética Mandiant Consulting. “Por exemplo, como estamos na temporada de férias, podemos esperar ver mais iscas de phishing relacionadas a negócios de compras. Temas fiscais na linha de assunto.” 

Os temas de phishing também podem ser genéricos, como um e-mail que parece ser de um fornecedor de tecnologia sobre como redefinir uma conta, disse McNamara. “Campanhas criminosas mais prolíficas podem alavancar temas menos específicos e, inversamente, campanhas mais direccionadas por agentes de ameaças envolvidos em actividades como espionagem cibernética podem utilizar iscas de phishing mais específicas”, disse ele.

O que as pessoas devem fazer para evitar tentativas de phishing

As pessoas podem tomar medidas para se defender melhor contra ataques de phishing. 

Uma delas é estar atento ao fornecer informações pessoais, seja para uma pessoa ou em um site.

“Phishing é uma forma de engenharia social”, disse Burn. “Isso significa que os phishers usam a psicologia para convencer suas vítimas a realizar uma acção que normalmente não realizariam. A maioria das pessoas quer ser útil e fazer o que alguém com autoridade lhes diz para fazer. Os phishers sabem disso, então eles atacam esses instintos e perguntam a vítima para ajudar com um problema ou fazer algo imediatamente.” 

Se um e-mail for inesperado de um remetente específico, se estiver a pedir a alguém para fazer algo com urgência ou se estiver solicitando informações ou detalhes financeiros que normalmente não são fornecidos, dê um passo para trás e olhe atentamente para o remetente, disse Burn. 

“Se o remetente parecer legítimo, mas algo ainda parecer errado, não abra nenhum anexo e passe o mouse ou passe o mouse sobre qualquer hiperlink no corpo do e-mail e observe a URL para a qual o link aponta”, disse Burn. “Se não parecer um destino legítimo, não clique nele.” 

Se uma mensagem suspeita vier de uma fonte conhecida, entre em contacto com a pessoa ou empresa por meio de um canal separado e pergunte se ela enviou a mensagem, disse Burn. “Você evitará muitos problemas e alertará a pessoa ou a empresa sobre o golpe de phishing se o e-mail não tiver sido enviado por eles”, disse ele. 

É uma boa ideia manter-se actualizado sobre as técnicas de phishing mais recentes. “Os cibercriminosos evoluem constantemente seus métodos, portanto, as pessoas precisam estar alertas”, disse Emily Mossburg, líder cibernética global da Deloitte. “Os phishers se aproveitam do erro humano.” 

Outra boa prática é usar software anti-phishing e outras ferramentas de segurança cibernética como protecção contra possíveis ataques e para manter os dados pessoais e de trabalho seguros. Isso inclui ferramentas automatizadas de análise de comportamento para detectar e mitigar indicadores de risco em potencial. “O uso dessas ferramentas entre os funcionários aumentou significativamente”, disse Mossburg. 

Outra tecnologia, autenticação multifactor, “pode ​​fornecer uma das melhores camadas de segurança para proteger seus e-mails”. “Ele fornece outra camada de defesa caso um agente de ameaça comprometa com sucesso suas credenciais”. Afirmou Luke McNamara.