Eles vão ter o tempo suficiente para criar e-mails de phishing altamente sofisticados, porque compreendem que hoje em dia, os usuários podem evitar aborrecimentos em relação aos spams que chegam via e-mail. No entanto, esses usuários ainda acham difícil identificar phishing e-mails, especialmente quando eles são adaptados para atender cada destinatário, de forma individual.
Expansão na Quantidade de Spear-Phishing e Propagação de Malware
Como resultado disso, nos últimos três anos, tem havido um aumento dramático no volume de spear-phishing direcionado. Essas práticas são tão sofisticados, que conseguem, perfeitamente, enganar o software de segurança e os seres humanos, levando estes a pensar que são práticas legítimas, sem maldade, e que os links contidos nesses e-mails são inofensivos; na verdade, eles podem mesmo é conectar-se a sites maliciosos ou páginas em sites legítimos, que os criminosos cibernéticos conseguem manipular para processos incisivos de disseminação de malware.
O aspecto mais preocupante nesse cenário ameaçador, é que e-mails falsos as vezes são tão convincentes e atraentes, que enganam 10% dos destinatários, fazendo com que estes cliquem nos links maliciosos contidos nas mensagens.
Tecnologia Ganha Espaço Significativo no Cotidiano das Pessoas
O crescente ritmo de vida, juntamente com o crescimento e o desenvolvimento da tecnologia móvel, significa que somos bombardeados o tempo inteiro com mensagens, a partir de várias fontes e com a utilização de mais dispositivos do que nunca - tanto em ambientes corporativos quanto em ambientes domésticos. Como resultado, nossos períodos de atenção estão ficando mais curtos, e nos tornamos uma geração de "trigger-happy clickers".
Humanos e a Propensão à Curiosidade
É quase uma reação automática: você abre uma nova mensagem, você decide dentro de alguns segundos, e se aquilo lhe parece relevante e significativo, você clica no link, lê a página web que aparece, fecha e em seguida, segue em frente para ler a próxima mensagem. Em termos psicológicos, humanos são condicionados a clicar em links. Os cybercriminosos alavancam isso até mesmo como uma forma de rentabilidade, tirando o máximo de proveito da curiosidade das pessoas, projetando temas mais prováveis para desencadear a resposta automática desses indivíduos, em situações de "click mail".
Proofpoint's Human Factor
Recentemente, em uma pesquisa "Proofpoint's Human Factor", foi revelado que os temas de maior sucesso para e-mail iscas giram em torno de "Redes Sociais" (predando o desejo humano de interação social), avisos sobre movimentações bancárias, transações financeiras de um modo geral (predando o desejo de estabilidade financeira), e Breaking News Stories (predando a curiosidade humana e a compaixão).
No entanto, falsos convites do LinkedIn são, de longe, o mais perigoso de todos esses golpes aplicados, alcançando uma taxa de cliques de 4x mais do que a de qualquer outro tipo de e-mail isca.
Técnicas Ardilosas Utilizadas em E-mails Direcionados e Bypass em Software de Segurança
O que é possível afirmar, diante do exposto, é que este é um grande negócio. Os ataques "longlining", utilizam técnicas inteligentes de marketing de banco de dados para entregar e-mails direcionados para milhares de funcionários, em centenas de empresas. Isso ocorre dentro de uma ou duas horas. Os e-mails contêm uma mensagem que é pessoalmente relevante para a maioria dos beneficiários, resultando em 1 em cada 10 pessoas clicando em um link no e-mail que vai para um site malicioso e que, a um primeiro momento, parece inofensivo, mas pode ter o controle total sobre o seu PC em menos de cinco segundos. O mais preocupante em toda essa investida maliciosa, é que o software de segurança da empresa não consegue perceber que algo está errado.
Este é um problema real. Por exemplo, no final do ano passado, uma dessas campanhas "longlining" infectou o computador de um funcionário de uma pequena empresa chamada "Fazio Mechanical Services", que forneceu as unidades de aquecimento e ventilação para uma empresa multi-bilionária chamada Target. Os cybercriminosos, em seguida, atacaram a empresa através da rede da Fazio, e roubaram informações de cerca de 110 milhões de indivíduos, incluindo dados de cartões de crédito. Ao longo dos próximos meses, o CEO e CIO da Target renunciaram aos cargos, e os lucros da companhia caíram em 46%, além de milhares de milhões de libras terem sido perdidos em referência à sua capitalização de mercado, como resultado da violação ocorrida.
Levando em consideração essas ocorrências, os indivíduos precisam entender que eles não estão sendo direcionados especificamente quando se trata de uma prática de phishing: eles estão sendo usados, juntamente com suas respectivas máquinas, como instrumento desse 'estelionato cibernético", ou seja, os cybercriminosos alavancam lucros através do prejuízo que causam a essas pessoas.
Atualização de Sistema Operacional e Cuidados Redobrados ao Escolher Senhas de Acesso
Se a situação é crítica e merece atenção redobrada, é primordial atualizar o seu computador a partir do Windows XP (devido a Microsoft já não está fornecendo atualizações de segurança para o sistema operacional em questão), utilizando, assim, um sistema menos inseguro (pois hoje em dia nada é 100% seguro) e mais moderno. Além disso, evite usar senhas previsíveis, simples, que sejam fáceis de decifrar. Por exemplo, um site de namoro foi alvo da ação de crackers e aproximadamente 10% das senhas eram "love1234".
No que tange às empresas, é necessário que essas utilizem as mais modernas e sofisticadas tecnologias de segurança, em um nível que possa coibir a ação cybercriminosa, oferecendo um sistema de defesa em profundidade contra os últimos ataques e contra as ações de malware. Além do mais, é importante executar campanhas de sensibilização com a sua equipe corporativa, dizendo a eles para não clicar em links que vierem dentro de e-mails de redes sociais, como os perigosos convites do LinkedIn.
Saiba Mais:
[1] Net Security http://www.net-security.org/article.php?id=2078&p=2