Phishing

Introdução ao phishing

O phishing é uma forma de engenharia social. Ao contrário de outros ciberataques que visam diretamente as redes e os recursos, os ataques de engenharia social utilizam erros humanos, histórias falsas e tácticas de pressão para manipular as vítimas de modo a que estas se prejudiquem involuntariamente a si próprias ou às suas organizações. Numa tentativa típica de phishing, um criminoso faz-se passar por alguém em quem a vítima confia, como um colega, chefe, figura de autoridade ou representante de uma marca conhecida. O criminoso envia uma mensagem instruindo a vítima a pagar uma fatura, a abrir um anexo, a clicar numa ligação ou a realizar qualquer outra ação.

A evolução e o impacto dos ataques de phishing

O phishing, um termo agora sinónimo de cibercrime, teve origem num programa desenvolvido por um adolescente da Pensilvânia chamado AOHell. Este malware inicial tinha como alvo a AOL (America Online), um serviço online popular nos primórdios da Internet, utilizando mecanismos para roubar informações de cartões de crédito e decifrar palavras-passe, o que levou a interrupções nos serviços da AOL. O programa AOHell lançou as bases para o software de phishing automatizado, influenciando os métodos de phishing subsequentes, incluindo os utilizados pela comunidade Warez – um grupo envolvido em pirataria informática e partilha de software pirateado.

Os primeiros dias do phishing

A comunidade Warez é responsável pelos primeiros ataques de phishing organizados, que começaram em 1996. Visavam os utilizadores da AOL, utilizando um algoritmo para gerar números de cartões de crédito aleatórios. Quando encontravam um número válido, criavam contas AOL reais para enganar outros utilizadores. Este esquema inicial de phishing evoluiu para tácticas de engenharia social mais sofisticadas, em que os atacantes se faziam passar por funcionários da AOL para recolher informações sensíveis.

Após estas primeiras fraudes, as tácticas de phishing passaram rapidamente para o correio eletrónico. Os primeiros e-mails de phishing variavam de esquemas pouco convincentes, como os que envolviam falsos príncipes nigerianos, a tentativas mais sofisticadas, como o vírus Mimail de 2003. O vírus Mimail foi distribuído através de um e-mail que dizia ser do PayPal, pedindo aos utilizadores que actualizassem os dados do seu cartão de crédito. Muitos utilizadores, induzidos em erro pelo convincente logótipo do PayPal, introduziram as suas credenciais num sítio Web malicioso.

A ameaça centrada no ser humano

O phishing é particularmente perigoso porque explora a psicologia humana em vez de se basear em vulnerabilidades tecnológicas. Muitas vezes, os atacantes não precisam de violar os sistemas diretamente ou de ser mais espertos do que as ferramentas de cibersegurança. Em vez disso, enganam os indivíduos com acesso autorizado a informações sensíveis, levando-os a ajudar involuntariamente no ataque.

Os phishers podem ir de burlões individuais a grupos criminosos organizados e podem utilizar o phishing para vários fins maliciosos, incluindo roubo de identidade, fraude de cartões de crédito, roubo de dinheiro, extorsão, aquisição de contas e espionagem. Os alvos dos ataques de phishing incluem indivíduos, empresas e agências governamentais. Um exemplo notável é o ataque de phishing à campanha presidencial norte-americana de Hillary Clinton em 2016, em que os hackers russos utilizaram um falso e-mail de reposição de palavra-passe para roubar milhares de e-mails. Até mesmo o help desk de TI da campanha foi enganado pelos e-mails fraudulentos.

Técnicas modernas de phishing

O phishing evoluiu significativamente, utilizando vários métodos de comunicação e técnicas sofisticadas para enganar os alvos. As tentativas modernas de phishing podem imitar empresas legítimas, o que torna difícil a sua deteção sem um exame minucioso.

Algumas técnicas de phishing actuais incluem:

• Angler Phishing: Ocorre através das redes sociais, utilizando URLs falsos, mensagens instantâneas ou perfis falsos para recolher informações sensíveis. Os atacantes também podem explorar os perfis das redes sociais para obter informações pessoais e melhorar a sua manipulação.
• Clonagem e falsificação de domínios: Os atacantes criam e-mails que se assemelham muito aos legítimos, utilizando cópias exactas de mensagens ou falsificando nomes de domínio para fazer com que os e-mails pareçam genuínos. Muitas vezes, fazem-se passar por empresas grandes e conhecidas para enganar os utilizadores e levá-los a divulgar informações pessoais.
• Smishing: Esta técnica combina phishing com SMS, enviando mensagens de texto falsas para recolher informações como números de cartões de crédito ou palavras-passe.
• Spear Phishing: Altamente direcionado, o spear phishing implica que os atacantes recolham informações detalhadas para criar mensagens de correio eletrónico personalizadas que parecem vir de fontes de confiança.
• Whaling: Este tipo de phishing tem como alvo funcionários de nível superior ou indivíduos de alto perfil, envolvendo frequentemente manipulação social sofisticada e recolha de informações.
• Vishing: Combinando phishing com VoIP (voice over Internet Protocol), o vishing envolve chamadas telefónicas fraudulentas destinadas a obter informações sensíveis.

Em resumo, o phishing evoluiu dos primeiros programas como o AOHell para esquemas complexos que envolvem vários métodos de comunicação. A ameaça continua a ser significativa porque se aproveita da psicologia humana, pelo que é essencial que os indivíduos e as organizações se mantenham vigilantes e informados sobre estas tácticas em constante evolução.