Analisámos aquelas que foram as mensagens e os assuntos de e-mail mais eficazes do ponto de vista dos hackers para levarem adiante os seus ataques de engenharia social em 2019.
À semelhança de outros anos, em 2019 os ataques que mais se repetiram, com eficácia, foram os de engenharia social, onde se incluem os ataques de phishing. Apesar de já nos termos referido em diversas oportunidades sobre este tipo de ataque, de seguida analisamos alguns dos conceitos que explicam o porquê deste fenómeno.
Um detalhe, que não é novo, mas que se tem mantido ao longo dos últimos anos, inclusive em 2019, é o facto dos hackers procurarem constantemente melhorar as suas técnicas para levar adiante ataques cada vez mais engenhosos e elaborados. Vimos isso, por exemplo, numa grande quantidade de campanhas de phishing analisadas durante 2019, nas quais foram incorporados certificados SSL nos servidores, permitindo desta forma que o mesmo browser informe o utilizador que está a navegar numa página “segura”. Foram também uma constante as mensagens dirigidas a dispositivos móveis, nos quais o URL completo é muito difícil de ver, da mesma forma que o aumento dos ataques homográficos, onde o endereço do site ao qual é convidado a aceder é praticamente o mesmo que o do site real.
As mensagens mais eficientes no momento de fazer novas vítimas, de acordo com o relatório KnowBe4, são as relacionadas com os problemas de segurança dos utilizadores finais; principalmente os dirigidos a ambientes empresariais. Entre eles, aqueles que usam algumas das seguintes desculpas:
- Verificação de password requerida de forma imediata
- Foi feita uma tentativa de entrega
- Desativação de [endereço de e-mail] em curso
- Novos “food trucks” chegam a [nome da empresa]
- Novos benefícios para os empregados
- Política de férias e licenças por doença revista
- Tem uma nova mensagem de voz
- Novas alterações na organização
- Alteração de password requerida de forma imediata
- Revisão de pessoal [ano]
A utilização de mensagens do tipo empresarial é explicada a partir da intenção de tentar comprometer sistemas de empresas para assim conseguir exfiltrar a sua informação.
Outra modalidade que esteve muito presente este ano foi aquela que se conhece como Business Email Compromise (BEC), que não se trata de outra coisa que não de e-mails dirigidos nos quais os hackers se faziam passar por alguém da empresa (sejam através de técnicas de spoofing ou diretamente, tendo conseguido acesso à mesma) com a finalidade de maximizar a eficácia da mensagem enviada fazendo-se passar por um remetente conhecido. Geralmente, o conteúdo destas mensagens está relacionado com temas da direção ou de caráter decisório, por exemplo uma mensagem que todos os funcionários de uma suposta conta dos recursos humanos, ou de um determinado departamento (finanças, para citar um) com uma solicitação urgente do seu superior.
Segundo o relatório da empresa Barracuda, este tipo de ataques são vinte vezes mais eficazes que os de phishing convencionais e geraram perdas superiores a 26 mil milhões de dólares, nos últimos quatro anos.
Voltando ao tema das mensagens que incluem no assunto dos e-mails de phishing, alguns dos assuntos que mais cliques geraram durante 2019 em e-mails que apontavam para contas não empresariais são as seguintes:
- Nova mensagem no Skype
- Reembolso da transação
- [Nome de um contacto] partilhou um documento contigo
- Microsoft Teams: por favor autentique a sua conta
- Bónus para funcionários selecionados
- Cisco Webex: a sua conta foi bloqueada
- Amazon: endereço de faturação não coincide
- USPS: Pacote de alta prioridade: Verifique onde está!
- Verizon: atualização de segurança
- Adobe Cloud: partilharam um documento consigo
Na maioria dos casos, os hackers procuram enviar e-mails com este tipo de mensagem no assunto para roubar credenciais de acesso a serviços comuns, seja com a finalidade de obter dados confidenciais das vítimas armazenados nos mesmos, ou de gerar bases de dados para vender no mercado negro.
No caso das mensagens que visam conseguir credenciais das redes sociais, o relatório mostra que o Linkedin, a rede social de perfis empresariais e profissionais, é alvo de quase metade das tentativas, com 48% dos envios com mensagens do tipo: “Você pode adicionar-me”, “O seu perfil apareceu em novas pesquisas”, “O seu perfil foi visitado”, “Redefinição de password” ou “Pedido de desativação”.
No caso do Facebook, as mensagens mais frequentes são do tipo: “Alguém te mencionou numa publicação”, “Os teus amigos identificaram-te nas seguintes fotos”, “Conta de e-mail principal modificada”.
Em menor percentagem, no caso do Twitter, as mensagens que se registaram com maior frequência são do tipo: “Alguém te enviou uma mensagem” ou para os serviços on-line da Motorola com “Alerta de acesso do Chrome no Motorola Moto X”.
Como estar protegido perante este tipo de ataques
Algumas das práticas recomendadas para estar protegido deste tipo de ataques, passam por:
- Verificar o endereço do remetente. Embora os hackers, em algumas oportunidades, utilizarem técnicas como o spoofing do remetente, através das quais podem fazer-se passar por um endereço de e-mail real, se verificar o cabeçalho do mesmo pode perceber que o envio foi feito a partir de um servidor diferente.
- Caso o remetente seja o real, mas duvide da veracidade da mensagem, contacte-o por outra via e valide a mensagem que recebeu.
- Da mesma forma que é necessário verificar o remetente, devem analisar-se minuciosamente os links enviados antes de clicar nos mesmos. De um modo geral, não é recomendável que aceda diretamente a um link incluído numa mensagem. Se se tratar de um caso real e o utilizador precise aceder à sua conta, é recomendável que o faça forma tradicional, através de uma app ou digitando manualmente o URL do serviço ao qual deseja aceder no browser.
- É extremamente importante ativar em todas as contas que assim o permitam o Duplo Fator de Autenticação, já que, desta forma, caso o utilizador tenha sido afetado por uma filtração das suas credenciais, este código aleatório que chega ao dispositivo móvel através da aplicação ou SMS, é muito difícil de adivinhar ou obter.
- Para os utilizadores do Google Chrome é possível ativar a extensão de verificação de passwords, a qual permite receber alertas em tempo real caso utilize alguma password que tenha feito parte de alguma filtração.
Como sempre dizemos, o primeiro passo para os utilizadores é aprender a reconhecer este tipo de e-mails e dedicar alguns minutos a confirmar se nada existe de suspeito.
