Golpe proveniente de e-mail ou comunicação eletrônica continua sendo o principal vetor de ataque para a maioria dos crimes cibernéticos, diz relatório da Europol
O spear phishing, golpe proveniente de e-mail ou comunicação eletrônica, direcionado a um indivíduo, organização ou empresa, continua sendo o principal vetor de ataque para a maioria dos crimes cibernéticos, diz um novo relatório da Europol, serviço europeu de polícia incumbido do tratamento e intercâmbio de informação criminal.
De acordo com o estudo, 75% dos grupos de ataque direcionados usam spear phishing como vetor de infecção principal, enquanto 32% das violações envolvem phishing. No ano passado, até 0,55% de todos os e-mails recebidos eram de phishing, enquanto o phishing estava presente em 78% dos incidentes de espionagem cibernética.
Na tentativa de aliviar o cibercrime, a Europol estabeleceu grupos consultivos para serviços financeiros, provedores de comunicação e segurança na internet. Ela se reúne com parceiros do setor privado desses grupos consultivos para discutir ameaças e tendências de crimes cibernéticos específicos do setor, para permitir o desenvolvimento e a cooperação em planos de ação públicos e privados conjuntos.
Em março, 70 instituições financeiras globais, empresas de segurança na internet e provedores de telecomunicações conheceram e compartilharam ideias sobre phishing. Agora, a Europol publicou o resultado dessa reunião no que descreve como “uma visão única da indústria policial sobre a ameaça de spear phishing”.
Steven Wilson, chefe do Centro Europeu de Cibercrime da Europol, comentou que o spear phishing é um importante facilitador de algumas das formas mais graves de cibercrime, especialmente ransomware, e pode causar danos reais aos cidadãos e organizações europeus. “Só podemos enfrentar uma ameaça com eficiência trabalhando em estreita colaboração com os principais parceiros de toda a indústria. Os Grupos Consultivos do EC3 e este recente relatório são um reflexo da nossa cooperação em andamento para combater a ameaça do crime cibernético.”
O relatório ignora amplamente as campanhas de phishing baseadas em spam. Estes são mais facilmente detectados e bloqueados. Um ataque direcionado baseado em reconhecimento contra um indivíduo específico é uma questão diferente, diz o documento. O problema é que a fase de reconhecimento é simples e não requer conhecimentos técnicos. Principalmente, os dados dos phishers vêm de duas fontes — a presença online da própria empresa-alvo e as informações pessoais do destinatário do phishing nas contas de mídia social.
Desde o início, uma fonte importante são as listas de empregos que as empresas publicam. “Um aviso típico de vaga”, diz a Europol, “não apenas cobre descrições detalhadas das tarefas e responsabilidades de uma função específica da organização em questão (processos), mas também inclui informações sobre quem o responsável pelo trabalho se reporta e gerencia (estrutura), bem como quais habilidades e conhecimentos são necessários (software).” “Nas contas de mídia social, os atacantes podem aprender interesses e hobbies pessoais e relacionamentos com colegas da organização de destino. Tudo o que resta para um ataque de spear phishing convincente é o endereço de e-mail do alvo — e isso geralmente pode ser obtido, ou adivinhado, por serviços como o hunter.io”, diz o relatório.
A fase de ataque envolve convencer o alvo de que o e-mail veio de uma fonte ou pessoa confiável. Isso significa enviá-lo a partir de um endereço de e-mail pertencente à empresa (a base dos ataques BEC e a variante mais nova conhecida como compromisso de e-mail do fornecedor); ou de um domínio semelhante falso. O próprio e-mail procurará enviar o destinatário para um site de phishing (buscando coletar credenciais ou fornecer malware), convencer o destinatário a baixar e abrir um arquivo malicioso ou incluirá um anexo armado que o destinatário é persuadido a abrir.
Hoje, 48% dos anexos maliciosos são documentos do Office e contêm ataques baseados em macro sem arquivo que não deixam nenhum arquivo de malware no terminal que possa ser detectado pelos mecanismos de assinatura antimalware. Nesse tipo de ataque, todo o objetivo do e-mail bem construído e bem pesquisado é convencer o destinatário a aceitar a mensagem e permitir a execução de qualquer macro. A Europol acredita que a defesa contra spear phishing é uma combinação de soluções técnicas e conscientização do usuário. As soluções técnicas são uma combinação de política e software.
As soluções de política incluem abordagens como desabilitar macros não certificadas e reforçam a autenticação de dois fatores, mas também incluem políticas mais complexas, como o estabelecimento de uma estrutura de política de remetente (SPF) no DNS e a implementação de relatórios e conformidade de autenticação de mensagens de domínio (DMARC). Esta última é uma solução amplamente recomendada para phishing (ou mais especificamente, phishing que envolve a marca da empresa), mas teve uma abordagem desigual até o momento.
