Os ataques cibernéticos que exploram vulnerabilidades de software são muito perigosos, mas geralmente fáceis de corrigir — muitas vezes exigindo apenas um patch. O phishing, no entanto, usa engenharia social para atingir pessoas em vez de sistemas. Os ataques de phishing podem evoluir e se adaptar a novas narrativas ou plataformas conforme necessário, forçando as empresas a repensarem suas estratégias.

Neste guia detalhado, abordaremos as táticas mais relevantes empregadas por campanhas de phishing atualmente, para que você possa desenvolver a melhor abordagem para proteger seu negócio contra essa ameaça.

O que você aprenderá neste guia:

• A natureza em constante evolução do phishing: Descubra como os ataques de phishing vão além de simples e-mails e agora exploram vários canais, como SMS, redes sociais e até códigos QR.
• O impacto devastador: Entenda as consequências sérias do phishing, desde infecções por ransomware e sequestro de contas até perdas financeiras significativas para as empresas.

• As táticas mais recentes: Conheça as técnicas sofisticadas que os invasores usam para evitar detecção, incluindo a ocultação de nomes de marcas e o uso de anúncios enganosos e páginas intermediárias.

• Tipos de ataques de phishing: Aprenda sobre as diferentes formas que o phishing pode assumir, como smishing, vishing, spear phishing e whaling, e saiba como reconhecê-las.

• Estratégias eficazes de defesa: Explore uma abordagem em várias camadas para combater o phishing, combinando tecnologia como filtros de spam e anti-malware com conscientização e vigilância em cibersegurança.

O que é Phishing?

Phishing é um tipo de ataque cibernético que utiliza engenharia social para enganar vítimas e induzi-las a divulgar informações sensíveis, como senhas, instalar aplicativos maliciosos em seus dispositivos ou realizar outras ações que possam ajudar os invasores a atingir seus objetivos.

O termo vem da ideia de "pescar" (fishing, em inglês), pois o hacker usa uma isca para atrair as vítimas para o golpe. A isca tradicional do phishing é um e-mail que solicita a senha do usuário enquanto finge ser de uma instituição confiável — geralmente um banco.

Atualmente, golpes de phishing são distribuídos por diversos canais, incluindo SMS, chamadas telefônicas e anúncios pagos em redes de publicidade e plataformas de mídia social. Além disso, eles podem se passar por empresas de diferentes setores, incluindo lojas online, software e veículos de mídia.

O phishing não exige vulnerabilidades de software. Em vez disso, ele geralmente tenta enganar as vítimas explorando traços e emoções humanas, como curiosidade e medo. Dito isso, cibercriminosos podem invadir servidores ou usar pagamentos fraudulentos (como cartões de crédito roubados) para obter a infraestrutura necessária para enviar mensagens de phishing ou hospedar sites fraudulentos.

Além disso, vulnerabilidades e falhas de software podem ser exploradas para tornar o golpe mais convincente. Por exemplo, hackers podem inserir código malicioso dentro de documentos para instalar malware e forjar cabeçalhos de e-mail para falsificar sua origem, especialmente quando isso pode ser feito para contornar filtros de spam ou sistemas de verificação de remetentes.

O que todas as empresas precisam saber sobre phishing

Incidentes de ransomware geralmente começam com phishing

Quando o phishing é usado para instalar malware ou roubar credenciais corporativas, pode resultar em um incidente de ransomware. Hackers frequentemente encontram maneiras de explorar qualquer acesso inicial, mesmo com privilégios baixos, para mover-se lateralmente dentro da rede, permitindo a exfiltração de dados e a violação de sistemas sensíveis.

De acordo com o IBM X-Force Threat Intelligence Index, o phishing está empatado em primeiro lugar como o vetor mais comum para acesso inicial, podendo levar a ransomware ou outras interrupções.

Embora o phishing não exija um alto nível de sofisticação técnica, seria um erro acreditar que os hackers que o utilizam não conseguem realizar operações sofisticadas.

Phishing ligado ao sequestro de contas (ATO - Account Takeover)

Credenciais são um alvo comum para ataques de phishing, seja diretamente (com uma página falsa que solicita a senha da vítima) ou indiretamente (por meio da disseminação de malware stealer, que, uma vez instalado, extrai essas informações do sistema assim que ficam disponíveis).

Credenciais roubadas permitem que hackers acessem contas de clientes, resultando em incidentes de Account Takeover (ATO). Quando criminosos realizam pedidos fraudulentos ou efetuam pagamentos sem a autorização da vítima, a empresa pode sofrer prejuízos devido a estornos (chargebacks) e outros processos legais ou técnicos.

ATO é um dos principais componentes do ecossistema de fraudes digitais, gerando bilhões em perdas anualmente.

Existem muitos tipos de ataques de phishing

O phishing pode ter diferentes objetivos:

• Credenciais corporativas: O phishing pode tentar roubar senhas para acessar plataformas de Software as a Service (SaaS), infraestrutura de TI ou VPNs corporativas.

• Malware e acesso inicial: Links e anexos em mensagens de phishing podem implantar stealer malware ou trojans de acesso remoto (RATs) para obter acesso inicial à rede da empresa.

• Credenciais de usuários: Hackers podem usar credenciais de usuários finais de várias maneiras como parte de incidentes de Account Takeover (ATO).

• Ações específicas: Mensagens de phishing podem enganar usuários para que realizem ações que enfraquecem sua segurança ou a de sua organização, como alterar uma configuração, redefinir uma senha, instalar um aplicativo web progressivo e assim por diante.

Certos tipos de ataque também possuem termos específicos:

• "Fake ads" e "malvertising" são usados para descrever anúncios maliciosos.

• Smishing refere-se a golpes de phishing recebidos como mensagens SMS. Elas podem conter um link ou um número de telefone para a vítima ligar.

• Vishing está relacionado ao uso de redes telefônicas em ataques de phishing.

• Quishing é o termo usado para descrever um endereço de phishing escondido dentro de um código QR.

• Pharming é um incidente em que os invasores combinam phishing com um nome de domínio sequestrado, tornando o ataque mais convincente, pois a vítima acessa um endereço da web que parece idêntico ou quase idêntico ao URL legítimo.

• Spear phishing descreve ataques de phishing direcionados. O spear phishing pode ser enviado para apenas algumas pessoas ou até mesmo para uma única pessoa, permitindo uma mensagem especialmente elaborada para ser o mais convincente possível.

• Quando um ataque de spear phishing é direcionado a indivíduos-chave dentro de uma organização, isso pode ser chamado de "whaling", embora esse termo não seja tão comum. Como os criminosos frequentemente se movem lateralmente dentro da rede corporativa para escalar seu nível de acesso, essa distinção nem sempre é relevante. No entanto, quando as organizações não tomam as medidas necessárias para proteger credenciais privilegiadas, os hackers alcançam seus objetivos com muito mais facilidade.

De modo geral, essas distinções não são tão úteis hoje como já foram. Ataques de phishing podem empregar múltiplas camadas de engano e ofuscação. Uma mensagem SMS maliciosa pode tentar enganar o usuário para que ligue para um número de telefone, ou uma chamada inesperada pode tentar fazer com que a vítima abra um link recebido por e-mail ou SMS.

Além disso, ataques impulsionados por IA podem personalizar a mensagem de phishing para vários destinatários, reduzindo a diferença entre campanhas padrão de phishing e spear phishing.

Como os ataques de phishing tentam permanecer invisíveis

Empresas e especialistas em cibersegurança vêm combatendo o phishing há anos. Hoje, plataformas de cibersegurança estão constantemente tentando localizar páginas de phishing antes mesmo de os criminosos iniciarem suas campanhas. Em resposta, hackers mudaram suas táticas várias vezes para evitar detecção.

Aqui estão algumas das estratégias que eles usam:

Evitando palavras-chave e nomes de marcas

Como os ataques de phishing geralmente funcionam se passando por uma marca conhecida da vítima, hackers registram novos domínios que incluem o nome da marca — por exemplo, "specialcredit[marca falsificada].com" ou "blackfriday[loja falsificada].com".

Esses sites falsos podem ser detectados por meio do monitoramento de novos domínios e da análise de páginas. Dessa forma, sites ilegítimos podem ser derrubados (takedown) antes mesmo da campanha ser amplamente disseminada.

Os criminosos responderam a essa tática evitando mencionar nomes de marcas em seus domínios maliciosos: 70% dos domínios fraudulentos não contêm palavras-chave relacionadas a marcas. Mesmo se a página for escaneada, 18% dos sites de phishing não mencionam a marca nem em seu código-fonte.

Embora isso possa tornar a página mais suspeita e levar a um golpe menos eficaz, nem sempre é o caso. Muitos usuários agora navegam na internet pelo smartphone, que possui barras de endereço curtas. Como os usuários não conseguem verificar facilmente o URL completo, os criminosos usam subdomínios e outros truques que funcionam bem no ambiente móvel.

Os sites de phishing também utilizam imagens em vez de texto para mencionar marcas, o que impede soluções tradicionais de escaneamento.

A Axur usa uma combinação de algoritmos e modelos de inteligência artificial para inspecionar 15 milhões de sites diariamente. Isso nos ajuda a reconhecer marcas e identificar o nível de similaridade entre a página analisada e a presença oficial da organização na web.

Depois de identificar uma marca, nossa IA analisa cores, layout da página e vários outros fatores, como se a página solicita informações sensíveis ou possui um campo de senha.

Com essa abordagem, conseguimos encontrar páginas de phishing mesmo quando tentam ao máximo evitar detecção. Cada sinal é registrado em um data lake que pode ser consultado em nossa solução de Threat Hunting.

Anúncios e páginas intermediárias ("gateway pages")

Enquanto alguns anúncios maliciosos dependem da execução de código dentro do navegador do usuário, o que os classificaria como malware, os criminosos se adaptaram a formatos mais padronizados, permitidos em plataformas de mídia social e mecanismos de busca, explorando truques de phishing: se passando por marcas e capturando a atenção do usuário.

Os criminosos podem usar funcionalidades de segmentação de anúncios para atingir vítimas potenciais. Isso torna a campanha mais eficaz e oculta o anúncio malicioso dos sistemas de varredura, já que nem todos verão a publicidade. Na Axur, trabalhamos constantemente para melhorar nossa visibilidade em redes de anúncios para escanear propagandas direcionadas.

Para contornar as políticas que bloqueiam seus anúncios, hackers enganam as plataformas de publicidade usando páginas intermediárias ("gateway pages") que, à primeira vista, não contêm conteúdo malicioso. Essas páginas podem se passar por sites de notícias ou outras entidades que normalmente não estão envolvidas em golpes de phishing para ganhar a confiança da vítima. Em algum momento, essas páginas intermediárias redirecionam para o site real de phishing que solicita os dados do usuário.

Filtros de acesso

Hackers adotam ativamente medidas para bloquear sistemas de escaneamento de acessarem suas páginas maliciosas. Um dos truques mais antigos é o "bloqueio geográfico" (geo-blocking), que permite que o site fraudulento seja acessado apenas por usuários de países específicos. Como o alvo de um golpe de phishing não pode ser facilmente determinado antecipadamente, essa estratégia impede que certos sistemas automatizados detectem o ataque.

As campanhas de phishing mais recentes geralmente combinam múltiplos filtros. Na Axur, temos observado vários golpes restritos a usuários móveis — às vezes verificando as capacidades técnicas do dispositivo, como funcionalidade de toque e tamanho da tela. Se o dispositivo não reportar os valores corretos, o navegador é redirecionado para um endereço diferente.

Nossos sistemas contornam esses filtros tentando acessar páginas suspeitas de diferentes regiões e simulando diversos dispositivos, até mesmo replicando como eles respondem ao código na página. Mantemos um registro do HTML da página e uma captura de tela do golpe, que pode ser analisada por nossa tecnologia de inspeção visual baseada em IA ou por analistas de segurança em nossa solução de Threat Hunting.

Uma abordagem completa para combater o phishing

Dentro da rede corporativa, filtros de spam, soluções anti-malware e treinamentos de conscientização em cibersegurança são as defesas mais comuns contra phishing. No entanto, muitas vezes, isso não é suficiente para mitigar a ameaça.

Como campanhas de phishing ocorrem fora da rede corporativa, muitas empresas não estão cientes desses incidentes, mesmo quando envolvem o uso indevido de suas marcas. Isso é um problema para organizações que desejam proporcionar uma experiência digital segura para seus usuários e evitar insatisfação dos clientes devido a golpes online.

Embora as empresas possam receber relatos de usuários sobre os golpes que recebem, isso raramente é suficiente para uma resposta eficaz.

A Plataforma Axur oferece uma solução completa, combinando detecção externa, denúncia, remoção (takedown) e um data lake de sinais que proporcionam às organizações visibilidade sobre as ameaças e campanhas conduzidas por cibercriminosos, mesmo quando não atingem diretamente sua rede corporativa.

• Nossos sistemas inspecionam 15 milhões de páginas da web todos os dias.

• Essa inspeção nos informa quais dessas páginas estão se passando por marcas.

• Modelos de IA verificam elementos comumente encontrados em ataques de phishing, como solicitações de informações sensíveis ou pagamentos fraudulentos.

• Incidentes que atendem a critérios predefinidos podem ser automaticamente programados para remoção e bloqueio. Isso envolve denunciar a URL de phishing e seus ativos associados para provedores de hospedagem e listas de sites maliciosos, permitindo que navegadores e soluções de segurança ajudem os usuários a evitar o golpe.

• A solução de Threat Hunting permite que analistas de cibersegurança investiguem mais a fundo incidentes complexos, auxiliando as empresas a analisar casos em que usuários foram vítimas de golpes de phishing.

Se você quer ver como nossa tecnologia pode ajudar seu negócio nesse cenário desafiador, fale com nossos especialistas.

Perguntas Frequentes (FAQ)

Q: Qual é a diferença entre phishing e malware?
A: O phishing usa engenharia social para enganar pessoas, enquanto o malware é um software malicioso que infecta dispositivos. O phishing pode levar à instalação de malware, mas são conceitos distintos.

Q: Como posso identificar um e-mail de phishing?
A: Verifique remetentes suspeitos, erros gramaticais, pedidos urgentes de informações e links que não correspondem ao site do suposto remetente. Desconfie de e-mails solicitando informações pessoais ou credenciais de login.

Q: O que devo fazer se achar que fui vítima de phishing?
A: Altere suas senhas imediatamente, notifique seu banco ou outras instituições afetadas e reporte a tentativa de phishing às autoridades competentes. Também pode ser útil entrar em contato com um especialista em cibersegurança.

Q: Como as empresas podem se proteger contra ataques de phishing?
A: Empresas devem implementar filtros de spam, softwares anti-malware e oferecer treinamentos regulares de cibersegurança para funcionários. Além disso, devem considerar o uso de plataformas de detecção externa para identificar e remover sites falsos que se passam por sua marca.

Q: O phishing ocorre apenas por e-mail?
A: Não. O phishing pode acontecer por diversos canais, incluindo mensagens SMS (smishing), chamadas telefônicas (vishing), redes sociais e até códigos QR (quishing).

Q: Qual é a diferença entre spear phishing e phishing comum?
A: O phishing comum é um ataque em larga escala, enquanto o spear phishing é altamente direcionado, muitas vezes personalizado para a vítima, tornando-o mais convincente.

Q: O que é whaling no contexto de phishing?
A: Whaling é um tipo de spear phishing que alvo indivíduos de alto perfil, como executivos ou celebridades.

Q: Programas antivírus gratuitos são suficientes para me proteger do phishing?
A: Embora o software antivírus possa ajudar, ele não é uma solução completa. O phishing se baseia em enganar as pessoas, e nenhum software pode evitar isso totalmente. Conscientização em cibersegurança e cautela são essenciais.

Q: Com que frequência novas técnicas de phishing são desenvolvidas?
A: Táticas de phishing evoluem constantemente. Os cibercriminosos se adaptam e inovam para contornar medidas de segurança, tornando essa uma ameaça contínua.