Primeiramente, os ataques de phishing têm como alvo as pessoas em vez de vulnerabilidades tecnológicas e por isso se tornou uma ameaça significativa.
O que antes era caracterizado por e-mails genéricos e mal elaborados, agora se transformou em uma forma de ataque altamente sofisticada e personalizada.
Assim, ao enganar pessoas que têm acesso autorizado, os cibercriminosos acessam sistemas para roubar identidades, fraudar cartões, roubar dinheiro, invadir contas, espionar e muito mais.
Nesse sentido, como os golpes de phishing manipulam seres humanos, as ferramentas e técnicas padrão de monitoramento de rede nem sempre podem detectar esses ataques em andamento.
Neste artigo, você vai descobrir mais sobre a evolução dos ataques de phishing e como sua empresa pode se preparar para evitar esse tipo de ameaça. Continue a leitura!
Cronologia do Phishing: uma breve história pelo tempo
Hoje, os ataques de phishing podem até ser comuns, mas nem sempre foi assim. Os primeiros casos de phishing ocorreram há mais de vinte anos.
O termo “phishing” surgiu em meados da década de 1990, quando os hackers começaram a usar e-mails fraudulentos para “pescar” informações de usuários desavisados.
No começo, os e-mails falsos eram bem fáceis de identificar. Foi a partir dos anos 90 que os invasores miraram nos usuários da AOL — um portal da web americano e provedor de serviços online — roubando credenciais dos usuários.
Em seguida, os ataques de phishing então progrediram para o envio de campanhas automatizadas para as pessoas roubares credenciais, informações, dados e muito mais.
Com o passar do tempo, os hackers desenvolveram suas estratégias e começaram a tornar até mesmo os assuntos de e-mail mais envolvente, até mesmo com nomes de contato ou empresas familiares.
No início dos anos 2000, os invasores voltaram suas atenções para sistemas financeiros, lançando ataques ao primeiro site de moeda digital E-Gold, eBay e PayPal.
Por exemplo, enviavam mensagens em massa pedindo aos clientes que visitassem os sites, informassem suas senhas pessoais e de cartão de crédito.
Outro ataque de phishing que ganhou bastante visibilidade na época, foi quando uma mensagem intitulada “ILOVEYOU” apareceu nas caixas de entrada ao redor do mundo.
Anexado à mensagem havia um arquivo .txt de aparência inofensiva intitulado “LOVERLETTER”. No entanto, quando aberto, o arquivo liberou um worm que desencadeou uma série de ataques.
Mudança de tática
À medida que as redes sociais apareceram, os ataques de phishing começaram a coletar dados pessoais para personalizar mensagens e enganar melhor os destinatários.
Como resultado, essa ação deu origem ao spear phishing, no qual os invasores pesquisam seus alvos para aumentar as chances de sucesso.
Técnicas para disfarçar seus endereços de e-mail reais, sequestrar tópicos de e-mail, aplicativos de mensagens de texto e até mensagens de voz, que são extremamente desafiadores de monitorar ou filtrar, são trunfos para enganar vítimas.
Dada a história, logo os e-mails de phishing se tornaram o principal mecanismo de entrega de ransomware, que sequestra dados ou sistema de uma vítima e extorque dinheiro.
Como, por exemplo, o ataque Cryptolocker de 2013, que foi a primeira instância amplamente relatada desse tipo de ataque, infectando computadores em todo o mundo em 2017 e continua a devastar empresas até hoje.
Em um relatório de 2019, da MIT Technology Review, os ataques de ransomware renderam cerca de US$ 7,5 bilhões somente nos EUA.
Custo dos ataques de phishing
Segundo o relatório mais recente “Cost of a Data Breach”, da IBM, o custo médio de uma violação de dados no Brasil é de R$ 6,75 milhões. A pesquisa ainda aponta que os ataques de phishing foram os mais comuns, com um custo médio de R$ 7,75 milhões por violação.
De 75 empresas atacadas por ransomwares no Brasil em 2023, 83% delas efetuaram o pagamento de resgate para reaver suas informações, apontam dados da Sophos.
Conforme a pesquisa, os profissionais entrevistados do Brasil, cujas organizações efetuaram o resgate, compartilharam o valor que pagaram: US$ 1,22 milhão (ou cerca de R$ 6,2 milhões) é o valor médio pago.
Para se ter uma base de comparação, a média global ficou em US$ 3,96 milhões (ou cerca de R$ 20 milhões).
Portanto, a história do phishing prova que esse continua sendo um método frutífero para invasores e não há uma solução infalível para isso. A educação do usuário continua sendo a defesa para impedir acessos indevidos aos sistemas das organizações.
O que é o phishing?
Brevemente, o phishing é um tipo de ataque cibernético que a partir de e-mails, mensagens de texto, telefonemas ou sites fraudulentos, leva as vítimas a acreditarem na sua veracidade e compartilhar dados confidenciais, baixar malware ou se expor a outros tipos de crimes.
Em outras palavras, ataques de phishing são uma forma de engenharia social, que usam erros humanos, histórias falsas e táticas de pressão para manipular as vítimas.
Isto é, acessar um e-mail que parece ser de uma colega de trabalho que solicita informações confidenciais, uma mensagem de voz alegando ser de algum órgão público, são alguns exemplos de engenharia social.
Conforme a Techopedia, mais de 3,4 bilhões de e-mails de phishing ocorrem diariamente, sendo esses ataques responsáveis por 90% das violações de dados.
Segundo os pesquisadores da Check Point, atualmente mais de 90% dos ataques a empresas no mundo têm origem em e-mails maliciosos. O phishing é popular entre os cibercriminosos e altamente eficaz.
O relatório Cost of a Data Breach, da IBM, apontou que o phishing é o vetor de violação de dados mais comum, representando 16% de todas as violações.
Ao passo que, as violações causadas por phishing custam às organizações uma média de US$ 4,76 milhões, valor superior ao custo médio geral de violação de US$ 4,45 milhões.
Como os ataques de phishing manipulam seres humanos, as estratégias de segurança padrão como monitoramento de rede, nem sempre são o suficiente.
Portanto, é necessário que as organizações combinem ferramentas avançadas de detecção de ameaças, monitoramento de rede, bem como investir na educação das pessoas.
Prevenção e mitigação de phishing
Embora, o alvo principal sejam as pessoas e treiná-las continuamente sobre os ataques de phishing seja uma medida efetiva para diminuir os riscos, é preciso ir além.
Dessa forma, proteger sua empresa contra ataques de phishing é crucial para manter a segurança dos dados e a integridade das operações. Aqui estão algumas soluções eficazes:
Tecnologias e Ferramentas
- Proteção de e-mail: tenha visibilidade total de quais são suas ameaças, detecte e bloqueie mensagens suspeitas antes que cheguem aos funcionários.
- Antivírus Corporativo: invista em soluções de antivírus que monitoram e protegem todos os dispositivos conectados à rede da empresa.
Educação e Conscientização
- Treinamento Regular: realize treinamentos periódicos com sua equipe para aumentar a conscientização sobre phishing e segurança cibernética.
- Simulações de Phishing: execute simulações de ataques de phishing para educar os funcionários sobre como identificar e responder a essas ameaças.
Políticas de Segurança
- Regras Claras: estabeleça políticas rigorosas sobre o uso de e-mails, compartilhamento de informações e acesso a sistemas internos.
- Autenticação de Dois Fatores: implemente autenticação de dois fatores para adicionar uma camada extra de segurança às contas corporativas.
Monitoramento e Resposta
- Monitoramento Contínuo: utilize ferramentas de monitoramento para detectar atividades suspeitas em tempo real.
- Resposta Rápida: tenha um plano de resposta a incidentes para agir rapidamente em caso de um ataque de phishing.
Portanto, apesar de cenário de segurança cibernética evoluir continuamente, especialmente no mundo do phishing, é fundamental educar sobre as mais recentes técnicas de phishing e engenharia social.
Ou seja, os funcionários cientes das ameaças mais recentes reduz o risco e gera uma cultura de segurança cibernética dentro da empresa.
Fale com nossos especialistas e saiba mais sobre a proteção contra ataques de phishing.
