O phishing nos dias de hoje!

“Construção do perfil do alvo” – Nos dias de hoje, há a tendência dos utilizadores exporem nas redes sociais (facebook, whatsapp, linkedin, etc) informação das funções e responsabilidades que tem na organização, tarefas que fazem, aplicações ou serviços que utilizam, por vezes informação sensível, e expondo, por vezes, a forma como a organização funciona e o papel que o utilizador tem na organização.

Conteúdos, links e anexos – Com o recurso a IA os conteúdos enviados são cada vez mais orientados para a função/responsabilidade que o utilizador tem na organização. Deixaram de ter erros ortográficos/ formatação e o próprio conteúdo do e-mail leva os utilizadores a considerar que é fidedigno. O mesmo acontece com os links e anexos que são semelhantes aos habitualmente recebidos fidedignamente. Por exemplo no caso dos anexos o ficheiro word e pdf é exatamente igual, mas ao abrir o ficheiro sem o utilizador perceber pode ser executado código malicioso (ex. remote code execution/macros).

Persistência – Com o recurso aos chatbots (por vezes os conteúdos podem não ser os mais sofisticados), há uma tentativa contínua para o mesmo alvo até o utilizador ter a “tentação” de clicar em algum link malicioso ou disponibilizar informação sensível.

Quais as estratégias a seguir para responder a este tipo de ataques?

Focando-nos nas iniciativas que podem reduzir de forma significativa o risco, para ataques através de phishing, recomenda-se a criação da ciber cultura na organização, sessões de sensibilização e formação, campanhas de phishing e avaliação das mesma e tecnologia que permita responder à evolução que este tipo de ataques tem tido.

Criação de ciber cultura na organização – Para que a estratégia de ciber segurança seja eficaz é essencial que a mensagem que se passa aos utilizadores/ colaboradores seja simples e clara (ex. através de newsletters, papers, redes sociais ou outros canais de comunicações que existam na organização) e que os utilizadores percebam o risco e impacto que determinados tipos comportamentos podem representar para a organização.

Sensibilização e formação dos colaboradores – Sendo este tipo de ataque focado no utilizador é essencial que as organizações tenham sessões de sensibilização e formação com alguma regularidade, e que as mesmas se adaptem à evolução e sofisticação que este tipo de ataques tem sofrido.

A nível individual ou para organizações que não tenham programadas sessões de formação e sensibilização nos temas de cibersegurança recomendo o curso Cidadão Ciberseguro disponibilizado pelo Centro Nacional de Cibersegurança na plataforma Nau (https://www.nau.edu.pt/pt/curso/ cidadao-ciberseguro/).

Campanhas de phishing – Com a evolução e sofisticação (ex. IA e chatbots) que há atualmente nos ataques de phishing (é recomendável também ter em consideração os ataques smishing e vishing e ter iniciativas semelhantes) é essencial que sejam feitas campanhas de phishing com bastante regularidade e que o modelo utilizado nas campanhas acompanhe a evolução que este tipo de ataques tem tido. Neste momento o conteúdo dos e-mails de phishing já são orientados para a função que o utilizador tem na organização e os links e anexos recebidos são semelhantes aos fidedignos.

Das campanhas de phishing que a Noesis suporta em cliente, a percentagem de utilizadores que ainda é “ludibriado”, anda na faixa dos 10% a 30%, incluindo utilizadores com nível de literacia tecnológico elevado.

Tecnologia - A par da sensibilização e formação dos colaboradores é essencial que a estratégia de cibersegurança que a organização tem implementada ou prevê implementar responda de forma eficaz a este tipo de ataque. Desta forma é importante que a própria solução de e-mail já tenha a capacidade de identificar e bloquear e-mails de phishing com base em comportamentos (se é ou não habitual a troca de e-mails com este sender), na origem (sender), no conteúdo (links) e em anexos. Da experiência do dia a dia da Noesis, como complemento, a “filtragem” feita pela solução de e-mail, recomenda-se o uso de soluções assentes em Intelegência Artificial/Machine Learning que tem a capacidade de identificar automaticamente novos padrões de ataque e tem por base a informação já recolhida e avaliar alterações de padrões/comportamentos. A filtragem (identificação e bloqueio) adicional que este tipo de soluções efetua é considerável, reduzindo desta forma os emails com conteúdo malicioso que possam chegar aos utilizadores.

A estratégia de cibersegurança também já deve considerar medidas de mitigação para responder de forma eficaz e automática, se possível caso as credênciais ou o dispositivo do utilizador fiquem comprometidos (ex. forçar o bloqueio da conta ou isolar o dispositivo), tendo as soluções de Endpoint Detection & Response ( EDR) ou Extended Detection and Response (XDR) um papel importante.

Conteúdo co-produzido pela MediaNext e pela Noesis