Quando Koceilah Rekouche, de 16 anos, também conhecido como Da Chronic, e seus amigos decidiram enganar os funcionários da AOL para que revelassem suas informações pessoais em 1994, mal sabiam eles que esse tipo de ataque, mais tarde chamado de phishing, acabaria se tornando uma das maiores ameaças mundiais de segurança cibernética em 2022.

No verão de 1994, um hacker chamado Dave Lusby abordou Rekouche porque havia descoberto uma maneira de obter acesso às informações de cartão de crédito dos usuários da AOL. Ambos convidaram outros hackers para se juntarem ao ringue e começaram a enganar tais os usuários. E assim começou o primeiro ataque de phishing do mundo.

Seu modus operandi foi direto: Rekouche, Lusby e alguns outros se passaram por funcionários da AOL e começaram a conversar com novos usuários nas salas de bate-papo do New Member Lounge. Os novos assinantes vulneráveis da AOL foram adicionados automaticamente a essas salas de bate-papo durante seus primeiros logins.

Primeiro, os hackers enviaram mensagens de texto manualmente para cada um dos membros da sala de bate-papo usando contas falsas que eles criaram com informações falsas de cartão de crédito ou contas roubadas obtidas em ataques anteriores. Se os hackers usaram contas falsas para se comunicar com outros usuários, sua operação durou pouco; AOL sairia e encerraria essas contas falsas em poucos segundos. As contas roubadas eram muito mais valiosas, pois eram legítimas e mais tarde foram chamadas de “phishes”.

O crescimento da base de assinantes da AOL e da comunidade hacker levou a um aumento no número de pessoas envolvidas nesse esquema de “pesca” (em inglês, “fishing”). Rekouche então começou a desenvolver um software automatizado para realizar seus hacks, que ele chamou de AOHell. Acredita-se que o termo phishing tenha sido popularizado por meio dessa ferramenta.

AOHell 

AOHell foi projetado para ser usado por amadores e profissionais. Uma vez dentro de uma sala de bate-papo, os phishers podem optar por capturar senhas ou informações de cartão de crédito. AOHell tinha mensagens de isca pré-projetadas que os phishers podiam escolher para alcançar os membros, bem como opções para criar mensagens de phishing completamente novas. Uma vez que o software fosse lançado em uma sala de bate-papo, ele criava uma lista de possíveis usuários e enviava a mensagem de isca para a função escolhida para todos eles.

AOHell aumentou muito o número de vítimas que os hackers poderiam atrair. Esse processo continuou por um tempo, com os hackers permanecendo indetectáveis por dois motivos principais:

1. Sistema de verificação negligente da AOL quando se trata de verificar os dados do usuário  

Tendo em mente que o ataque aconteceu há quase 30 anos, os hackers não corriam um grande risco de serem pegos pela polícia ou sofrerem repercussões por suas ações, pois usaram contas falsas ou roubadas para fazer login. Apesar de ser uma plataforma online popular, a AOL não usava um sistema automático de verificação de faturamento e dependia da diligência dos funcionários que supervisionavam o processo de autenticação. Devido ao seu frouxo sistema de monitoramento, os hackers conseguiram obter, através do phishing, muitas informações de cartão de crédito ou credenciais de uma só vez.

 2. Incapacidade da AOL de capturar os números de telefone dos usuários  

Inicialmente, a AOL usou provedores de serviços externos como a SprintNet para estabelecer conectividade de modem telefônico. A SprintNet não forneceu à AOL os números de telefone dos usuários que faziam login em seu site, o que significava que a AOL não conseguia identificar os usuários por seus números de telefone. Mais tarde, embora a AOL tivesse sua própria rede de modem chamada AOLNet, ela também não tinha a capacidade de obter números de telefone.

Rekouche parou de trabalhar no software AOHell em setembro de 1995, mas nessa época vários aplicativos semelhantes estavam sendo desenvolvidos para invadir diferentes comunidades na Internet. No início dos anos 2000, o que começou como uma tentativa de hacking amador por alguns adolescentes levou a sofisticados ataques de phishing por cibercriminosos autotreinados.

De volta ao básico 

O phishing, um dos ataques de engenharia social mais comuns da atualidade, existe há quase 30 anos. Rastrear a origem do phishing ajuda você a entender as intenções e o comportamento humano por trás desse tipo de ataque e como os invasores desenvolveram software automatizado para realizá-lo. Esse desenvolvimento acabou levando às sofisticadas técnicas de phishing que os ciberataques usam hoje.

O que é phishing? 

O phishing ocorre quando os cibercriminosos usam identidades falsas para induzir os alvos a revelar informações de identificação pessoal (PII) ou dados confidenciais. Normalmente, as informações solicitadas são dados de cartão de crédito ou credenciais de login. O meio mais comum para realizar um ataque de phishing é o e-mail. SMS (smishing), plataformas de mídia social, sites falsificados e, mais recentemente, chamadas de voz ou mensagens de áudio (vishing) também são os escolhidos pelos phishers de mídia.

Tipos de ataques de phishing 

Nas últimas décadas, desde o ataque da AOL, os phishers evoluíram bastante.Hoje, e-mails e sites de phishing são cuidadosamente criados para imitar os autênticos e, assim como o modelo RaaS, os invasores adotaram o Phishing as a Service (PhaaS) como um negócio executado em fóruns clandestinos. Discutiremos esse modelo em detalhes na Parte 2.

Por enquanto, vamos explorar nove tipos importantes de ataques de phishing.

1. Clone phishing: como o nome sugere, o clone phishing ocorre quando os invasores replicam e-mails legítimos de organizações confiáveis e apenas alteram o link ou anexo para que, quando os usuários clicarem nele, o ransomware ou malware seja instalado. Esses e-mails geralmente são enviados por meio de um endereço de e-mail falsificado e, muitas vezes, o ataque não para com a simples instalação do malware. Os invasores extraem os contatos da vítima e os atacam também.

2. Spear phishing: Este é um ataque mais direcionado, onde os phishers passam tempo pesquisando seus alvos para entender de onde eles são e seus círculos próximos e amigos. Eles então se apresentam como um contato conhecido, alcançam o alvo e tentam induzi-lo a revelar informações pessoais e financeiras que podem ser usadas por motivos maliciosos. Os vetores de ameaças usados podem ser e-mails, mensagens em plataformas de mídia social, SMS ou até mesmo ligações telefônicas.

3. Caça às baleias: em ataques à baleia, os phishers se apresentam como membros da equipe de gerenciamento sênior de uma organização (como o CEO). Esses ataques têm como alvo não apenas os funcionários, mas também as principais partes externas que normalmente se comunicam com altos executivos (ou seja, as grandes baleias). Esse método de ataque envolve o desenvolvimento de um site ou e-mail falso que visa convencer os usuários a realizar uma ação, geralmente realizando um pagamento. Como o e-mail ou solicitação parece ter vindo de um funcionário sênior confiável, é mais provável que os funcionários prossigam com a ação.

4. Smishing: Com o advento dos telefones celulares, o mundo cibernético começou a ver um aumento no smishing, uma junção das palavras SMS e phishing. O invasor usa mensagens de texto como vetor de ataque, enviando à vítima um link fraudulento. Por exemplo, eles podem alegar ser de uma loja que oferece um desconto ou de um banco. Esses tipos de ataques aumentaram em número porque, de acordo com o Gartner, os usuários são mais propensos a abrir e responder a mensagens de texto em seus telefones do que a e-mails.

5. Vishing: Semelhante ao smishing, em um ataque de vishing (phishing de voz), o cibercriminoso liga para o alvo, finge ser de uma instituição legítima e tenta convencê-lo a revelar informações pessoais. Normalmente, os ataques de vishing envolvem uma combinação de técnicas, incluindo smishing. Como a maioria dos números de telefone tem de 10 a 15 dígitos, dependendo da localização, os criminosos usam software de phishing para gerar números aleatórios e determinar seus alvos.

6. Pharming: Pharming é um tipo de ataque de phishing em que criminosos redirecionam alvos para sites falsos. Os usuários são solicitados a fornecer suas credenciais de login ou números de segurança social ou a realizar uma transação financeira. O pharming pode ocorrer de duas maneiras: instalando software malicioso em um computador host (pharming baseado em malware) ou modificando a tabela DNS em um servidor (envenenamento de cache DNS). O último é mais difícil de detectar e manusear, pois os próprios computadores host não são afetados.

7. Pescador ou phishing de mídia social: é onde os invasores chegam aos usuários nas mídias sociais, fingindo ser um amigo ou um agente de atendimento ao cliente. A maioria dos ataques de pescadores tem como alvo os funcionários de instituições financeiras.

8. Ataques man-in-the-middle: um cibercriminoso intercepta uma interação entre um usuário e um aplicativo nesse tipo de ataque. A maneira mais comum de fazer isso é por meio de hotspots Wi-Fi; o invasor os torna públicos e, quando os usuários tentam se conectar a eles, o invasor se infiltra na conexão. Em seguida, eles descriptografam o tráfego SSL por meio de falsificação de HTTPS ou explorando vulnerabilidades SSL.

9. Phishing do mecanismo de pesquisa: em vez de recorrer a e-mails de phishing para redirecionar os usuários para sites falsos, os criminosos agora os indexam por mecanismos de pesquisa como o Google para listá-los nas páginas de resultados de pesquisa. Esses sites são feitos para parecer legítimos para persuadir os alvos a visitá-los.

Como o phishing é usado para ataques de ransomware 

Tanto o phishing quanto o ransomware foram identificados como ameaças cibernéticas importantes a serem observadas em 2022. Enquanto o phishing é usado para convencer os alvos a revelar informações confidenciais, os ataques de ransomware são usados para instalar malware em sistemas de software para obter dados, bloquear acesso e exigir um resgate em troca.

Das várias maneiras pelas quais os invasores de ransomware tentam obter acesso aos sistemas, o phishing é atualmente a escolha número um. O ataque começa com o agente da ameaça enviando um e-mail de phishing contendo um link ou anexo malicioso. Quando o usuário clica nele, o invasor obtém acesso ao sistema e realiza o ataque. A vítima geralmente não tem conhecimento da atividade até receber a nota de resgate.

A implementação de medidas para conter e se defender contra phishing ajuda a eliminar os ataques de ransomware pela raiz. A parte 2 desta série “Phishing por informação” examinará as técnicas de ataque de phishing às quais os criminosos recorrem e como as organizações podem se defender deles com uma ferramenta de gerenciamento de segurança eficaz.

Esse post foi traduzido da nossa página em inglês SIEM Expert Talks, e sua autoria original é de Anupama. A.