Cada vez mais frequente o phishing agora está quase indecifrável
Recentemente, uma cliente da Any Consulting nos relatou que recebeu e-mail bancário cuja mensagem solicitava um clique para verificar pendências relativas à sua antiga conta. Num primeiro momento, a cliente verificou o domínio do e-mail e parecia correto. Entretanto, como havia participado de treinamentos de segurança, optou por ligar para o banco e se surpreendeu: o domínio do e-mail estava quase perfeito, mas não era do banco em questão.
Essa cliente escapou por pouco, justamente por já ter sido treinada por especialistas em segurança cibernética. Mas e você, sabe se proteger? No Brasil, em 2024, mais de 30% dos internautas foram afetados por este tipo de ciberataque.
A técnica do phishing vem evoluindo rapidamente e, recentemente, a Cloudflare identificou uma campanha criminosa que explora serviços de encapsulamento de links para direcionar vítimas a páginas falsas do Microsoft 365. Nesse formato, os links confiáveis da Proofpoint e da Intermedia são usados para mascarar URLs maliciosas. Esta tecnologia normalmente reescreve links em e-mails para direcioná-los através de um serviço de escaneamento. Eles transformam, por exemplo, um link para “http://malicioussite.com” em “https://urldefense.proofpoint.com/v2/url?u=httpp-3A__malicioussite.com”
Phishing invisível é recente
O phishing invisível é algo muito recente. Foi relatado, em junho deste ano, como um dos métodos mais sofisticados já registrados. Outro ponto que tem chamado a atenção para roubar credenciais de acesso é a migração do phishing também para dispositivos móveis, com casos que atingiram 2 milhões de pessoas em apenas 20 dias. Neste artigo, vamos explorar como esses golpes funcionam e, principalmente, o que podemos fazer para nos proteger deste perigo crescente.
Como a técnica de phishing invisível burla sistemas de proteção
O novo método envolve uma cadeia complexa de redirecionamentos que torna a detecção de links maliciosos extremamente difícil, mesmo para os serviços de segurança mais avançados. O processo começa quando um usuário clica em um link aparentemente inofensivo. Imediatamente, inicia-se um redirecionamento através de plataformas legítimas como YouTube, seguido por uma sequência de redirecionamentos subsequentes. Esta técnica multi-camadas é projetada especificamente para dificultar a detecção e análise dos links. Ao final desta cadeia, o usuário é conduzido a uma página de phishing que utiliza proxies revertidos da página de login do Microsoft 365.
Os cibercriminosos utilizam encurtadores de URL como Bitly para mascarar o endereço de destino malicioso. Além disso, eles podem alterar o endereço de destino conforme a necessidade, mantendo o mesmo link curto. Assim, mesmo que um site de phishing seja bloqueado, eles simplesmente o hospedam em um novo endereço, alteram o link no serviço intermediário e o ataque continua.
A técnica é perigosa porque, com links curtos, o conselho de verificar URLs antes de clicar perde o sentido – você só descobre o destino real após o clique, quando pode ser tarde demais.
Exemplos reais de URLs maliciosas disfarçadas
Entre os domínios maliciosos mais utilizados recentemente estão:
- rodapremiada.top
- donttbeevils.de
- yfilesstorage.com
Os criminosos também exploram novos domínios de nível superior como .mov e .zip, que podem parecer extensões de arquivo comuns. Por exemplo, um link como “video.mov” parece um arquivo de vídeo, mas na verdade é um link para um site malicioso.
Outra tática envolve emails simulando notificações de correio de voz ou documentos compartilhados do Microsoft Teams, com botões como “Listen to Voicemail” ou “Access Teams Document” que levam à cadeia de redirecionamentos até a
Domínios confiáveis são manipulados para enganar usuários
Você sabia que mais de 51% das tentativas de phishing se fazem passar por uma das 20 maiores marcas globais? Os invasores usam domínios legítimos comprometidos para contornar medidas de segurança que analisam a idade do domínio.
A estratégia permite que burlem métodos tradicionais de segurança como SPF, DKIM e DMARC. Com isso, agora está em xeque a confiança implícita que depositamos em domínios de empresas reconhecidas no setor de cibersegurança.
Especialistas indicam como evitar phishing invisível
Para combater o phishing invisível, especialistas em cibersegurança recomendam múltiplas camadas de proteção. A autenticação multifator, por exemplo, pode bloquear invasores mesmo quando credenciais são comprometidas. A Microsoft recomenda fortemente MFA resistente a phishing para contas administrativas como administradores globais, de aplicativos, de autenticação e outras funções privilegiadas. As chaves de segurança FIDO2 são consideradas o “padrão ouro” pela Agência de Segurança Cibernética e Infraestrutura (CISA).
Vale destacar, também, a ferramenta de análise de URL/LINKs disponibilizada pelo Produto Cloud Secure Edge – Secure Internet Access da SonicWall. Além de proteger o acesso às ferramentas SAAS, possui um filtro baseado em URL.
Educação e conscientização dos usuários
Outro ponto recomendado pelos especialistas em segurança cibernética é educar os colaboradores sobre phishing, malware e engenharia social. Eles precisam estar aptos à identificação de e-mails suspeitos e à verificação de autenticidade de links. Também precisam ser amplamente orientados quanto à importância de senhas fortes. Simulações práticas de phishing podem reforçar este aprendizado.
Políticas de acesso condicional e firewalls atualizados
Para garantir segurança adicional, não deixe de estabelecer políticas de acesso com regras bem definidas. Portanto, é recomendável excluir contas de acesso de emergência e contas de serviço dessas políticas para evitar bloqueios acidentais.
O serviço gerenciado de Firewall é fundamental para todas as empresas, pequenas, médias ou grandes. Além disso, as equipes de tratamento e resposta aos incidentes devem estar aptas a detectar e responder rapidamente quando há alguma intercorrência.
Ressaltamos que nosso ambiente digital está em constante evolução, assim como as táticas dos criminosos cibernéticos. Portanto, combater o phishing invisível exige vigilância permanente e adaptação contínua. Lembre-se: a segurança digital não é responsabilidade exclusiva de departamentos de TI ou especialistas em segurança. Pelo contrário, cada usuário representa um elo fundamental na cadeia de proteção. Todos precisam estar treinados!
Conte com a Any Consulting para combater o phishing invisível
Apesar dos desafios, as ferramentas e conhecimentos necessários para nos protegermos estão disponíveis. A equipe de especialistas da Any Consulting pode levar esse conhecimento até seus colaboradores. Estamos há 10 anos no mercado treinando equipes de TI em soluções de segurança da informação. Converse com nossos especialistas.
FAQ para você
Como identificar um e-mail de phishing?
Verifique o remetente, desconfie de mensagens urgentes, analise cuidadosamente os links antes de clicar e esteja atento a erros gramaticais ou de formatação. Nunca forneça informações sensíveis por e-mail.
Qual é a importância da autenticação multifator (MFA) na prevenção de phishing?
A MFA adiciona uma camada extra de segurança, dificultando o acesso de invasores mesmo que obtenham suas credenciais. É especialmente recomendada para contas administrativas e funções privilegiadas.
Como as empresas podem educar seus funcionários sobre ameaças de phishing?
Realize treinamentos regulares, ensine a identificar e-mails suspeitos, promova a importância de senhas fortes e realize simulações práticas de phishing para reforçar o aprendizado.
Quais são as consequências financeiras de um ataque de phishing bem-sucedido?
As consequências podem incluir perdas monetárias diretas, roubo de identidade, danos à reputação da empresa, queda na competitividade e possíveis multas por violações de regulamentações de proteção de dados.
Como a inteligência artificial está sendo usada para combater o phishing?
Algoritmos de machine learning analisam grandes volumes de dados em tempo real, detectando anomalias comportamentais e padrões suspeitos antes que causem danos. Essa tecnologia tem demonstrado alta precisão na identificação de sites de phishing.
