Por André Carneiro.
Quando alguém puxa o assunto de cibersegurança, há alguns termos que vêm à mente quase que de forma instantânea: ataques hackers, golpes, táticas elaboradas, invasões de contas, roubo de dados sensíveis, ameaças, vazamentos de informações, entre outros.
Esses tipos de incidentes costumam ser complexos e, por diversas vezes, devastadores para os alvos, entretanto, dada a evolução das estratégias e mecanismos de defesa, muitos deles também podem ser evitados se identificados logo no início.
Uma das maneiras mais comuns de começar um ataque cibernético - em baixa ou alta escala - é por meio do phishing.
Essa palavrinha parece ser inocente, porém, ela denomina uma técnica de engenharia social maliciosa, usada para enganar usuários da internet por meio de uma fraude eletrônica para obter informações confidenciais, como:
Grande parte desses golpes, inclusive, começa com um simples clique em um link falso, mas que parece ser legítimo.
O phishing pode ser a porta de entrada para ataques que devastam as vidas de pessoas físicas, PMEs e até grandes corporações. Para especialistas do segmento, como eu, é gratificante saber que a conscientização da sociedade sobre o tema está se expandindo, por outro lado, esse tipo de golpe ainda faz muitas vítimas, incluindo casos de ampla escala e em nível mundial.
A Sophos, empresa que lidero no Brasil, recentemente divulgou a descoberta de um incidente de phishing em que o golpe todo foi projetado para roubar credenciais - identificadores exclusivos, como nome de usuário e senha, que permite o login em uma conta - de e-mails corporativos.
Nesse caso em questão, estudado pela Sophos, os criminosos implementaram técnicas altamente sofisticadas de engenharia social para atacar cerca de 800 companhias de diferentes locais do mundo. Para tal, o grupo de golpistas – provavelmente russos – enviou mais de dois mil e-mails de phishing direcionados a essas companhias, que atuam nos setores governamental, de saúde, de energia e de infraestrutura.
Para executar o ataque, os cibercriminosos utilizaram uma tática bastante incomum, mas que, por ser personalizável, acaba sendo extremamente efetiva: eles adicionaram o logotipo das próprias empresas-alvo no e-mail de phishing, ou seja, os colaboradores acharam que se tratava de um comunicado interno da companhia.
Uma vez que esses e-mails foram abertos pelos colaboradores, eles eram solicitados a inserir suas senhas em uma página de login idêntica ao site da organização. A partir daí, os atacantes roubaram as senhas e passaram a extraí-las para canais no Telegram.
De acordo com a pesquisa realizada pela Sophos, os criminosos parecem ter se aproveitado de pessoas que tinham seus endereços de e-mail registrados em sites específicos da comunidade das companhias. E foi exatamente assim que nossa equipe foi alertada sobre o caso.
Nem os pesquisadores saem ilesos
Para se ter uma noção de como realmente todos nós podemos ser alvos de golpes cibernéticos, vou mencionar o caso do Andrew Brandt. Ele é um dos grandes pesquisadores de ameaças que temos aqui na Sophos e mora em Boulder, no estado do Colorado, nos Estados Unidos. Enquanto concorria às eleições para o conselho escolar local, Andrew recebeu um e-mail de um cibercriminoso fingindo ser um de seus colegas candidatos - que ele ignorou.
Mas os atacantes são insistentes. Quando os criminosos perceberam que as mensagens iniciais de comprometimento de e-mail comercial falharam, eles passaram a fazer tentativas por meio de phishing, enviando ao Andrew diversas mensagens contendo um anexo da página de login daquilo que parecia ser o site de sua campanha pessoal.
O próprio Andrew comentou sobre essas tentativas de golpe que ele enfrentou e levantou um ponto de atenção: quando as pessoas trabalham em grandes empresas ou têm algum tipo de iniciativa no âmbito político, é bastante provável que recebam grandes quantidades de emails de remetentes que elas não conhecem.
E, em muitos casos, essas mensagens trazem um senso de urgência. A dica que deixo é: por que é tão urgente assim se está vindo de uma pessoa desconhecida? Sempre suspeitem disso, por favor.
Qualquer pessoa que tenha informações de contato publicamente disponíveis em ambientes online precisa receber um treinamento para que saiba reconhecer quando existe um potencial risco de ataque.
Não se pode nunca dispensar a necessidade de funcionalidades de suporte de segurança, como a autenticação multifator, que costuma funcionar muito bem contra casos de phishing.
Por fim, para que seja possível evitar golpes que coloquem em risco toda a saúde cibernética de uma companhia ou os dados sensíveis de uma pessoa física, é fundamental que se tenham ferramentas de monitoramento de ameaças. A forma mais efetiva de proteção é evitar vulnerabilidades - em vez de buscar métodos de recuperação depois que o ataque já estiver sendo executado.