A nova face do phishing

Não há outra maneira de dizer: o phishing continua a existir e a ter verdadeiros impactos nas organizações. O tema pode ser antigo – afinal, quem não se lembra do príncipe da Nigéria? –, mas a maioria dos ciberataques ainda começam com um simples email numa caixa de correio e de um clique do utilizador.

O “Phishing Threats Report” da Cloudflare, que analisa dados entre maio de 2022 e maio de 2023, estima que 90% dos ciberataques bem-sucedidos começam com um email de phishing. O mesmo relatório refere que as principais táticas de phishing utilizadas pelos ciberatacantes são a utilização de links ilusórios, seguido da utilização de identidades falsas e que podem facilmente ultrapassar os standards de autenticação dos emails e, a ‘fechar o pódio’, a imitação de marcas que a maioria dos cidadãos conhecem e confiam.

Ultrapassar as defesas

O objetivo de quem ataca é relativamente simples e conhecido: enganar o utilizador e levá-lo a carregar numa ligação ou num anexo que leve ao comprometimento das suas credenciais e/ou da organização.

Luís Rato, National Security Officer da Microsoft Portugal, refere que entre as principais táticas detetadas pela Microsoft no seu relatório “Cyber Signals” está o lure, “em que utilizam truques para atrair a atenção dos utilizadores por forma a coagi-los a realizar uma determinada ação que permita roubar as suas informações (62,35%); o payroll, em que se fazem passar pelas equipas de RH/Payroll e enviam e-mails aos colaboradores, pedindo alterações aos dados bancários (14,87%); e o invoice, em que se fazem passar por um colega ou fornecedor para convencer o utilizador a pagar uma fatura falsa ou uma fatura legítima para uma conta falsa (8,29%)”.

Christopher Budd, Director Threat Research da Sophos, partilha que recentemente a equipa da Sophos X-Ops descobriu um ataque que “combinava a imagem de um ficheiro em anexo – em vez do próprio ficheiro, para contornar a filtragem de anexos – com uma chamada telefónica real para o alvo”. Este ataque mostra “a evolução das técnicas e que a criatividade é cada vez maior, incluindo a utilização de táticas de engenharia social que já não são técnicas”.

Pelo seu lado, Paulo Pinto, Business Development Manager da Fortinet Portugal, relembra que, apesar das diferentes técnicas utilizadas, “estas continuam a ter um objetivo em comum: roubar a identidade ou transferir ficheiros maliciosos”. Assim, Paulo Pinto destaca o spear phishing, o whaling, business email compromise, clone phishing e vishing como as principais táticas para atacar as organizações e furtar dados ou comprometer a organização.

Fábio Ribeiro, Senior Sales Engineer da Ajoomal, afirma que os cibercriminosos têm utilizado “várias táticas novas para aumentar a sofisticação dos seus ataques”, como engenharia social, falsificação avançada, aproveitamento de deepfakes – que permitem criar representações de áudio e vídeo altamente convincentes de figuras de confiança dentro de uma organização – e phishing direcionado.

Tendências

Christopher Budd indica que é certo que tem existido “uma evolução contínua em termos de avanços tecnológicos”, mas que, atualmente, o elemento humano é cada vez mais importante”. Assim, as equipas de defesa devem “esperar uma evolução contínua também nesse aspeto” e uma exploração cada vez maior da vulnerabilidade humana.

Paulo Pinto afirma que as tentativas de phishing “são apenas a ponta do icebergue” e que outras formas de phishing vão continuar a aumentar. O Business Development Manager da Fortinet Portugal dá como exemplo uma nova abordagem que já existe e “que irá, certamente, ser uma das próximas tendências”: os atacantes adicionam um “QR Code a produtos já conhecidos e fazem banners ou materiais de marketing, que deixam em lojas físicas. Se uma vítima vê um produto de que gosta e uma sinalética que lhe diz que pode obter o produto mais rapidamente ou a um preço com desconto, é mais do que provável que utilize o telemóvel para ler o QR Code, que a irá levar a um site fraudulento ou a tentativas para descarregar malware”.

Luís Rato refere que existe, neste momento, uma “tendência significativa” na utilização “de plataformas como o BulletProftLink, um serviço conhecido por criar campanhas de email maliciosas em escala industrial”. Esta plataforma, diz o National Security Officer da Microsoft Portugal, “vende um serviço end-to-end que inclui modelos, hosting e serviços automatizados para comprometer emails empresariais, sendo que os adversários que utilizam este CaaS recebem as credenciais e o endereço IP da vítima”.

Inteligência artificial

Se é certo que a Inteligência Artificial (IA) é uma ferramenta com várias aplicações benéficas para as organizações, também é certo que será utilizada para atacar os cidadãos e as organizações. O ChatGPT, por exemplo, revolucionou a tecnologia e é capaz de realizar tarefas de processamento de linguagem natural com suporte para uma enorme variedade de línguas; os ciberatacantes utilizam este tipo de ferramentas para criar emails com pouco – ou mesmo nenhuns – erros gramaticais ou falhas de formatação, o que faz com que o email pareça mais legítimo.

Quem lê este artigo sabe – e provavelmente já experimentou – a capacidade do ChatGPT também do lado do ataque. Quisemos ver o que seria um email de phishing preparado por esta plataforma de inteligência artificial generativa. “Estou a escrever um artigo sobre phishing e preciso de um exemplo de email de phishing criado por inteligência artificial” foi o pedido feito à plataforma. Para além do aviso de que este é “um exemplo completamente fictício” e que “não deve ser usado para atividades maliciosas ou ilegais”, o resultado gerado pelo ChatGPT encontra-se ilustrado na imagem em baixo e não editado.

Paulo Pinto, da Fortinet, diz que enquanto quem “protege utiliza a inteligência artificial para automatizar as operações de segurança, melhorando a deteção, prevenção e a resposta a incidentes, os atacantes utilizam esta ferramenta para automatizar a criação de emails de phishing. Desta forma, não só conseguem amplificar o volume de ataques de phishing, como conseguem corrigir alguns indicadores que, anteriormente, associávamos facilmente como sendo um ataque de phishing, como é o caso da gramática, ortografia e formatação”.

Luís Rato sublinha a possibilidade de automatizar a criação de emails de phishing, o que significa “a criação e distribuição de milhares de emails de phishing numa questão de minutos”. Além do mais, “os próprios algoritmos de inteligência artificial também podem personalizar os ataques, tornando-os mais convincentes”.

Christopher Budd menciona uma investigação recente da Sophos X-Ops onde foram descobertas “provas claras” de que os ciberatacantes utilizam “capacidades semelhantes às do ChatGPT” para atacar os seus alvos, trabalhando-os todos os dias durantes semanas ou meses antes de se conseguir que sejam vítimas de burlas. “Devo dizer que a ameaça da utilização de IA em ataques é facilmente exagerada, mas ao mesmo tempo esta é claramente uma área que já está a ser explorada pelos atacantes. O mais relevante neste momento é que estão a utilizar as capacidades da IA não para encontrar soluções tecnológicas para os seus ataques, mas sim para encontrar soluções centradas no ser humano. É razoável esperar que a IA seja utilizada de forma mais eficaz, e o mais rapidamente possível, no phishing”, explica.

Boas práticas

Empregar boas práticas – e principalmente ensiná- las aos colaboradores – não elimina por completo o risco de um ataque contra uma organização ter sucesso, mas permite reduzir esse mesmo risco.

Fábio Ribeiro, da Ajoomal, refere que a formação dos colaboradores é uma necessidade, principalmente através da explicação de como reconhecer tentativas de phishing e a importância de verificar pedidos de informações sensíveis, assim como uma consciência de segurança através da promoção de uma cultura de segurança dentro da organização. Aliada a essa formação, importa ter filtragem de email, autenticação multifator e segurança de endpoint.

Christopher Budd, da Sophos, sublinha, também, a importância de “educar os utilizadores para não abrirem anexos e não clicarem em links” que, diz, “continua a ser uma prática importante”, em conjunto com a promoção interna de bons hábitos, “não utilizando links e anexos nos seus emails internos”. O Director Threat Research afirma que, se este hábito for adotado, “os utilizadores podem adquirir o hábito de clicar neles, o que enfraquece a formação e a mensagem de segurança. Para além disso, dessa forma também é mais fácil para os utilizadores evitarem emails de phishing que se fazem passar por emails internos”.

Paulo Pinto, da Fortinet, explica que “as equipas de segurança e os colaboradores de uma organização têm papéis importantes a desempenhar” quando “se trata de evitar ciberataques como o phishing”. Apesar disso, “há muitas ações simples que as empresas podem tomar para melhorar a sua postura de segurança”, como a ativação de filtros de spam, atualizar o software regularmente, implementar a autenticação multifator, ter um backup dos dados e bloquear sites que não sejam fiáveis”.

Apesar da componente mais tecnológica, Paulo Pinto sublinha a necessidade de “implementar um programa de formação contínuo em toda a organização”, que identifique “as principais áreas que apresentam os maiores riscos para o utilizador final” e, “inevitavelmente, para a empresa”.

Luís Rato reforça a importância de também maximizar as definições de segurança que protegem a caixa de entrada de cada colaborador, nomeadamente através da ativação de notificações para remetentes não verificados, bloquear remetentes com identidades que não pode confirmar de forma independente e denunciar os seus e-mails como phishing ou spam nas aplicações de correio eletrónico, e tornar o correio eletrónico mais difícil de comprometer, ativando a autenticação multifator, por exemplo. No entanto, “a sensibilização é fundamental e meio caminho para se travar logo à partida qualquer tentativa maliciosa de extrair informação confidencial”.