Segurança > Principais Golpes por E-mail e Como Evitá-los

Você já deve ter lido em algum lugar ou escutado de alguém ao menos uma das seguintes afirmações: “nunca estamos 100% seguros” e “a segurança depende de todos nós“. São axiomas. O motivo é o fator humano que cria variáveis imprevisíveis no contexto da segurança.

Fomos, somos e continuaremos a ser os alvos preferidos dos atores (hackers). Só que, com o advento da Inteligência Artificial, de um tempo para cá, essa obsessão por nossas credenciais ficou bem maior (500%). O roubo de credenciais sem o uso de malware corresponde a 75% do total de senhas roubadas, e, infelizmente, tende a aumentar ainda mais nos próximos anos.

Isso nos leva a uma questão: por que tanta gente cai em golpes? E por que tem gente que não cai? Considerando fatos e conceitos, um bom mindset de segurança ajuda muito a evitar problemas de natureza cibernética. Ele começa quando entendemos que os atores (hackers) estão há poucos cliques de nós, e que, justamente por isso, devemos (1) manter sempre nossas defesas altas (2) utilizando MFA em todos os lugares e (3) senhas fortes o tempo todo. Ainda assim vai haver riscos, não vou mentir, mas é o mínimo que nós, na posição de usuários de sistemas, podemos fazer para nos proteger e consequentemente, proteger pessoas próximas a nós.

Dentro desta realidade, que tal fazer uma breve imersão no contexto de segurança de e-mails?

Esse material está estruturado para servir de apoio em treinamentos internos de melhoramento da cultura da segurança.

Cenário Global de Segurança de Identidades

A Inteligência Artificial tem dois lados. Ela também é utilizada em técnicas de ataques utilizados em golpes e tem gerado impactos significativos na segurança e na privacidade de pessoas e de empresas, gerando grandes prejuízos.

Finalidade do roubo de credenciais:

Atores roubam credenciais para realizar ataques dentro da rede das empresas. Através da disseminação de malwares, podem sequestrar dados e exigir o pagamento de um resgate, o que geralmente é fatal para empresas de pequeno e médio porte. Uma parte dessas credenciais sequer são utilizadas pelos atores. Elas são vendidas na Dark Web para potenciais interessados, e esses, sim, fazem uso dessas credenciais para atividades ilícitas que vão desde a espionagem comercial até o dano reputacional de imagem das empresas, além de tentativas de fraudes financeiras.

Algoritmo dos golpes e suas premissas

Existe uma lógica por trás dos ataques por e-mail e 3 ações fundamentais que a vítima deve realizar. A lógica é que a pessoa alvo execute uma ação seguindo as ações destacadas abaixo:

1 – A vítima deve acreditar;
2 – A vítima deve agir sem pensar;
3 – A vítima deve agir com a máxima prioridade.

Essa é a anatomia de um ataque por e-mail.

Técnicas mais utilizadas

Veremos a seguir as técnicas mais utilizadas pelos atores em suas tentativas de golpe por e-mail. Observe que as técnicas em si não são os golpes propriamente ditos. As técnicas são utilizadas nos golpes, e os golpes podem contar com mais de uma técnica ao mesmo tempo.

O que é Phishing?

O Phishing é uma técnica de mensagens falsas/forjadas utilizadas em golpes direcionados a indivíduos específicos ou a um grupo de pessoas. Ele é enviado por e-mail e contém mensagens que tentam persuadir a(s) vítima(s) a realizar uma ação.

Portanto, o Phishing é uma isca. O golpe está na ação que a vítima realiza, e ela o faz por acreditar no Phishing.

A ação pode ser qualquer coisa que o ator precise. Por exemplo; dados pessoais, sigilosos, de terceiros, informações internas, etc. Mas também pode ser uma operação bancária ou a instalação de malwares (que vão instalar malwares piores). Para conferir credibilidade ao golpe, os atores se passam por pessoas, empresas ou entidades.

Golpes com Phishing

Banco Crelan (2016): Após comprometer a conta do CEO, os atores instruíram funcionários do banco a realizarem transferências que totalizaram $75,8 milhões.

WannaCry (2017): Computadores/Servidores ao redor do mundo sofreram (e muito) com infecções do malware WannaCry, incluindo hospitais, empresas e governos, gerando prejuízo superior a 4 bilhões de dólares.

Spoofing

Spoofing é uma técnica de forja de endereços de e-mail. Isso pode ser feito de duas formas:

1 – Trocando o from das mensagens: domínios como finbits.com.br possuem mecanismos de proteção no DNS que confirmam ou não a identidade dos servidores que utilizam, mas nem todos os domínios fazem isso. Atores podem enviar mensagens por qualquer servidor utilizando um desses domínios mal configurados. Assim a mensagem é enviada com “from” modificado, chegando no alvo do ataque como se fosse um e-mail legítimo pertencente ao domínio.

2 – Com substituições de caracteres (leet): outra forma de fazer Spoofing é por substituições de caracteres no endereço do domínio. Assim, um domínio como mercadolivre.com.br se torna mercad0livre.com.br. Parece óbvio, mas tente isso aqui:

• mercadolivre.com.br
• mercad0livre.com.br
• microsoft.com
• rnicrosoft.com

Agora não parece tão óbvio assim. Acontece que, na correria do dia a dia, sob certas condições, a vítima pode não perceber a diferença, principalmente considerando variação de fontes utilizadas nas interfaces de sistemas.

Spear Phishing

Falamos de Phishing e de Spoofing. Agora veremos um tipo de golpe que utiliza ambas técnicas; é o Spear Phishing.

O Spear Phishing é um tipo sofisticado de Phishing. Esse tipo de técnica caracteriza-se por utilizar alguns dados das vítimas. As mensagens de Spear Phishing podem conter até mesmo dados sigilosos. Ou seja, é um ataque altamente direcionado a uma vítima em específico que pode ser uma pessoa ou uma organização.

Dados utilizados em ataques são geralmente coletados por Engenharia Social. Consiste em explorar os perfis das vítimas a fim de coletar informações sobre elas, e para isso as redes sociais são pratos cheios.

Um golpe de Spear Phishing pode levar um bom tempo de concepção. Ou seja, ataques altamente direcionados a vítimas específicas podem gerar pequenas aproximações dos atores às vítimas justamente para coleta de dados adicionais.

Golpes com Spear Phishing:

Facebook e Google (2013 à 2015): Por dois anos as empresas pagaram faturas falsas de um fornecedor em comum, a Quantum, totalizando $100 milhões em prejuízos.

Ubiquiti Networks (2015): O ator se passou pelo CEO e pelo advogado da empresa, e conseguiu persuadir o diretor financeiro a realizar transferências que totalizaram $46,7 milhões.

Quebrando Heurísticas

É muito simples quebrar as heurísticas de um ataque por e-mail, e a única dica para isso é esta; nunca aja no automático. Ao receber uma mensagem por e-mail, pare e pense um pouco. Permita-se analisá-la e entender se essa mensagem é digna da sua atenção. Evite agir no automático. Toda mensagem de fraude possui inconformidade(s). Pode ser a mensagem em si, a falta de nexo ou de contexto. Pode ser um tipo incomum de abordagem ou de demanda, entre outras coisas, mas haverá sinais que, em alguns casos, somente serão observados com cuidado e atenção.

O que verificar em mensagens de e-mail:

As dicas abaixo se aplicam para remetentes conhecidos ou não:

• Observe com atenção o remetente das mensagens (e-mail e nome);
• Atenção para erros de gramática/português e pedidos de urgência;
• Verifique links (passar o ponteiro do mouse sem clicar);
• Não clique em links estranhos ou encurtados;
• Cuidado com anexos, principalmente se eles não são esperados;
• Jamais forneça informações pessoais;
• Cuidado redobrado com mensagens de pessoas/empresas desconhecidas.

Compete a todos se portar adequadamente e em alinhamento com as políticas de segurança das empresas para evitar problemas inadvertidos de segurança. O risco existe, é constante e as consequências podem ser devastadoras.

Pequenos esforços evitam grandes prejuízos.

Abraço e até a próxima