Phishing e phishing como serviço (PhaaS), explicado
Phishing é um hack predominante que visa induzir as pessoas a divulgar informações privadas, incluindo números de cartão de crédito, senhas e identidades pessoais.
Um número surpreendente de 300.497 casos de phishing foram relatados ao Federal Bureau of Investigation dos Estados Unidos somente em 2022. Esses ataques resultaram na perda de mais de US$ 52 milhões pelas vítimas. Geralmente, isso envolve o envio de e-mails falsos que parecem autênticos, enganando os destinatários para que abram links prejudiciais ou solicitem informações confidenciais. Phishing-as-a-service (PhaaS) é um desenvolvimento alarmante no mundo do crime cibernético.
Com o uso de um serviço web baseado em assinatura chamado PhaaS, mesmo criminosos não técnicos podem facilmente executar ataques de phishing complexos. Essas empresas oferecem kits de phishing pré-fabricados, modelos editáveis e infraestrutura de servidor para criar páginas web falsas.
Um cibercriminoso pode, por exemplo, inscrever-se em uma plataforma PhaaS, criar um modelo de e-mail que pareça vir de uma troca de criptografia respeitável e distribuí-lo a milhares de possíveis destinatários. Um link para uma página de login falsa destinada a roubar as credenciais dos usuários pode ser incluído no e-mail.
Os cibercriminosos podem lançar rapidamente extensas campanhas de phishing com PhaaS, representando uma ameaça maior tanto para indivíduos como para empresas. A acessibilidade do PhaaS reduz a barreira de entrada para o crime cibernético, que é uma grande preocupação para os consumidores da Internet e especialistas em segurança cibernética em todo o mundo.
Como funciona o PhaaS
PhaaS torna mais fácil para os fraudadores iniciarem ataques de phishing, dando-lhes acesso a extensos kits de ferramentas e infraestrutura.
Funciona da seguinte forma:
Kits PhaaS
Kits de phishing pré-embalados com todas as ferramentas, infraestrutura e modelos necessários para realizar ataques de phishing estão disponíveis nos fornecedores de PhaaS. Modelos de e-mail, páginas de login fictícias, serviços de registro de domínio e infraestrutura de hospedagem estão incluídos nesses kits.
Costumização
O grau de personalização oferecido por vários sistemas PhaaS varia. E-mails, sites e domínios de phishing podem ser alterados por golpistas para parecerem genuínos e confiáveis. As campanhas de phishing podem ser personalizadas para atingir pessoas, empresas ou setores específicos.
Alvejando
Os ataques de phishing possibilitados pelo PhaaS estão se tornando mais complexos. Os cibercriminosos têm a capacidade de criar campanhas publicitárias altamente direcionadas que imitam as estratégias de marca e comunicação de empresas respeitáveis e suas ofertas. Os invasores podem criar comunicações persuasivas com maior chance de enganar os destinatários, utilizando informações pessoais coletadas nas redes sociais, violações de dados e outras fontes.
Por exemplo, os invasores muitas vezes se apresentam como funcionários de suporte de carteiras, bolsas ou projetos populares nas redes sociais (Telegram, Discord, Twitter, etc.). Eles oferecem ajuda e enganam os usuários por meio de falsas alegações de brindes ou lançamentos aéreos para que desistam de chaves privadas ou frases iniciais ou estabeleçam conexões com carteiras comprometidas para desviar seus fundos.
Perigos do PhaaS
O PhaaS reduziu drasticamente a barreira de entrada para hackers, o que resultou em um aumento perceptível na quantidade e na sofisticação das tentativas de phishing.
Mesmo aqueles sem experiência técnica podem simplesmente lançar ataques de phishing complexos com PhaaS usando kits de ferramentas pré-empacotados, modelos personalizáveis e a infraestrutura de hospedagem oferecida pelos provedores de PhaaS.
A possibilidade de sofrer uma grande perda financeira é o principal risco associado ao PhaaS. O objetivo dos golpes de phishing é obter chaves privadas, frases iniciais ou credenciais de login dos usuários. Eles podem ser usados para acessar suas contas e drenar suas carteiras de criptomoedas para fins nefastos. Por exemplo, os invasores alteraram o front-end do BadgerDAO em 2021 depois de enganar os usuários, fazendo-os fornecer permissões que permitiram que seu dinheiro fosse drenado.
Os ataques PhaaS têm o potencial de minar a confiança na comunidade criptográfica. Os golpes bem-sucedidos podem desencorajar as pessoas de usar até mesmo projetos e serviços respeitáveis, o que impede a adoção generalizada. Esses ataques são especialmente vulneráveis a usuários novatos de criptomoedas. Eles podem ser mais suscetíveis a cair em personificações de mídias sociais ou sites que parecem autênticos porque não têm experiência.
Os ataques de phishing estão se tornando cada vez mais complexos; frequentemente utilizam estratégias de engenharia social e imitam plataformas genuínas. Isso torna difícil reconhecê-lo até mesmo para usuários experientes.
PhaaS não serve apenas para campanhas de e-mail em grande escala. Os ataques de spear-phishing são direcionados a pessoas ou empresas conhecidas na indústria de criptomoedas. Esses ataques usam informações personalizadas para induzir indivíduos ou organizações específicas a fornecerem dados confidenciais ou a tomarem ações que levem a perdas financeiras ou violações de segurança.
Como se defender contra PhaaS
Uma maneira ideal de se proteger contra PhaaS é praticar vigilância constante: verifique tudo (URLs, endereços de remetentes), nunca clique em links não solicitados e nunca compartilhe suas chaves privadas ou frases iniciais.
Abordagem de segurança multicamadas e defesas técnicas
Instale firewalls, ferramentas de monitoramento de rede, segurança de endpoint e filtragem robusta de e-mail. Estas salvaguardas tecnológicas ajudam na identificação e bloqueio de anexos arriscados, e-mails de phishing e atividades de rede questionáveis.
Treinamento de conscientização do usuário
Ensine regularmente os membros da equipe como detectar e denunciar tentativas de phishing. Informe-os sobre os sinais típicos de tentativas de phishing. Isso envolve instruir as pessoas a examinarem atentamente os endereços dos remetentes, determinarem a urgência das mensagens, ficarem longe de links duvidosos e desistirem de enviar informações privadas por e-mail.
Políticas de segurança
Implemente medidas de segurança como práticas recomendadas para senhas e autenticação de dois fatores (2FA). Para evitar acessos indesejados, incentive o uso de senhas fortes e exclusivas, atualizadas regularmente.
Implementação DMARC
Para ajudar na remoção de e-mails falsos, use métodos de autenticação de e-mail, como autenticação, relatório e conformidade de mensagens baseadas em domínio (DMARC). Ao auxiliar na verificação da autenticidade do e-mail, o DMARC reduz a taxa de sucesso das tentativas de phishing.
Ele fornece aos proprietários de domínio informações sobre estatísticas de autenticação de e-mail em seus domínios e permite que eles definam políticas para lidar com e-mails não autenticados.
Inteligência de ameaças
Inscreva-se em serviços de inteligência de ameaças para receber informações sobre os mais recentes ataques de phishing e técnicas PhaaS. Para melhor defender as plataformas de criptomoeda contra as ameaças cibernéticas em evolução, acompanhe os novos desenvolvimentos no campo dos ataques cibernéticos e dos riscos online emergentes.