17/05/2019

17/05/2019

Como evitar ser apanhado em esquemas de mobile phishing


Navegar na internet é algo visto como fazendo parte do nosso dia a dia, mas a facilidade com que o podemos fazer, não pode, nem deve, colocar em risco a nossa segurança. A Check Point, empresa com algo conhecimento nesta área, partilha algumas sugestões para não serem apanhados desprevenidos.

 

Check Point® Software Technologies Ltd.(NASDAQ: CHKP), fornecedor global líder em soluções de cibersegurança, explica as melhores práticas para empresas e particulares se protegerem contra os ataques de mobile phishing, um vetor de ataque que teve grande expressão durante o ano de 2018.

O termo “phishing” foi utilizado pela primeira vez em 1996, numa altura em que a internet e todo o mundo da Web começava a dar os primeiros passos. Mais de 20 anos depois como é que este ataque continua a enganar os utilizadores? A resposta é simples – o phishing trabalha de forma muito efetiva e é um dos métodos mais fiáveis para os hackers, que permite aceder à informação pessoal dos utilizadores ou às contas das empresas onde trabalham. O phishing tornou-se num processo industrializado – estima-se que 1 em cada 2000 emails enviados seja um email de phishing e que mais de um milhão de sites são criados todos os meses, com o objetivo de enganar os utilizadores .

Um estudo recente mostra que mais de 25% dos emails deste tipo conseguiu passar a segurança do Microsoft Office 365. Para os hackers é uma questão de números – apenas têm que enviar o maior número de emails possível com links maliciosos que redirecionam os utilizadores para sites falsos e esperar que estes caiam na armadilha. Numa altura em que cada vez mais transações são realizadas a nível mobile, este é um esquema que se tem tornado cada vez mais eficiente.

Para além disso o facto dos ecrãs serem cada vez mais pequenos e ergonómicos dificulta a confirmação de URLs e links – o que acaba por facilitar a entrada dos utilizadores em sites maliciosos. O facto de os telemóveis disporem, cada vez mais, da interconectividade de contas de email permite que os cibercriminosos acedam às contas conectadas, quando se conseguem entrar na conta de email principal.

Rui Duro, Sales Manager da Check Point adverte para o facto dos telemóveis poderem ser atacados através de mensagens de phishing, e também de aplicações maliciosas o que, segundo o próprio, “confere aos criminosos uma variedade de métodos através dos quais podem atacar as suas vítimas”. A Check Point enumera os três principais vetores de phishing:

Ataques de phishing através do email
As tentativas de email phishing podem ser direcionadas simultaneamente para consumidores, empresas e utilizadores mobile. Os ataques de phishing direcionados ao consumidor normalmente envolvem o roubo de base de dados de onde são retirados os nomes dos consumidores e os seus números de telefone para mais tarde criar mensagens muito específicas e direcionadas.

Os ataques contra os utilizadores das empresas envolvem a construção de perfis fictícios a partir de sites com fins corporativos, como é o caso do LinkedIn, Facebook e Twitter, que permitem criar emails direcionados a clientes específicos, em nome de executivos seniores a pedir pagamentos ou serviços urgentes com o objetivo de intimidar o recetor do email a efetuar uma transação fraudulenta. Estes emails podem também aparentar ter origem nas equipas de TI e conter informação que direciona os utilizadores para URLs que têm como objetivo coletar passwords e credenciais de VPN.

Ataques de Phishing via SMS
Também conhecido por “smishing” – phishing direcionado às SMS, texto e iMessage – este é um vetor de ataque cada vez mais comum no que toca à disseminação de URLs maliciosos direcionados aos dispositivos móveis dos utilizadores. Esta é uma das variedades de ataques de larga escala que se assemelha aos ataques de email spam que incorpora truques como reset de password ou updates de segurança das suas contas através de ataques ainda mais direcionados e personalizados.

Ataques de Phishing a Apps
As aplicações mobile tornaram-se num canal de divulgação bastante vantajoso para a distribuição de links de phishing, uma vez que estão instaladas em grande número nos dispositivos móveis e existe uma oferta considerável das mesmas – 3,9 milhões de apps disponíveis na Google Play, mais de 2 milhões de aplicações de Apple Store e mais de 1,5 milhões de aplicações em lojas de terceiros – o que constitui uma grande oportunidade para os hackers para introduzir conteúdo malicioso.

Também a comunicação de phishing encriptada aproveita-se da natureza encriptada de aplicações como o WhatsApp, Telegram e Signal para enviar mensagens convincentes fazendo-se passar por apoio ao cliente ou por outro qualquer serviço online que não pode ser identificado uma vez que são encriptados.

Próxima geração de proteção contra ataques de phishing
Para proteger os indivíduos e as organizações contra os ataques de phishing é necessária uma abordagem de 4 passos:
  1. A primeira linha de defesa é ter uma proteção anti-phishing robusta baseada no servidor – esta proteção deve incorporar filtros anti-spam, deteção de phishing, deteção de BEC phishing e deteção de spear phishing.
  2. A proteção URL baseada no dispositivo é necessária, uma vez que a grande maioria dos ataques de phishing direcionam a vítima para um URL que fornece conteúdo convincente o suficiente para fazer com que esta divulgue credenciais ou instale aplicações maliciosas. É por isso crucial ter uma proteção de URL que vá para além do email corporativo, mas também às contas de email pessoal, SMS/texto/iMessage e ao conteúdo das aplicações que são alvo de download.
  3. Criação de um perfil de segurança baseado no próprio dispositivo, com o objetivo de detetar se este foi propositada ou inadvertidamente criado com vulnerabilidades a este tipo de ataques direcionados ou a interceções de tráfego. Esta situação requer a análise das versões do sistema operacional e níveis de atualização, configurações de perfis e certificados instalados e monitorização de aplicações maliciosas.
  4. Um elemento essencial que costuma ser negligenciado é a educação do utilizador. É necessário que os utilizadores suspeitem de qualquer email cujo remetente seja desconhecido para evitar abrir qualquer anexo que não desejado; é também necessário que estes não transmitam qualquer tipo de informação pessoal através de email ou mensagem de texto e que tenham precaução quando recebem notificações de pagamento inesperadas através do email ou pedidos de amizade nas redes sociais de contas desconhecidas.

Com a adoção destas práticas, a segurança das tecnologias e a educação dos utilizadores as empresas ficam numa boa posição para assegurar que os seus colaboradores não serão facilmente atacados pelos ataques de phishing mobile.

0 comments:

Enviar um comentário