05 de agosto de 2020

E a maioria das vítimas de phishing tem que lidar com uma transação fraudulenta cerca de 5 dias após o phishing, mostram novas pesquisas

phishing

A gente já falou bastante sobre engenharia social por aqui, e durante nossas pesquisas identificamos o phishing como uma das técnicas mais utilizadas durantes os cibercrimes.

Desde então, a gente descobriu ainda mais sobre o tema.

Uma equipe mista de pesquisadores de segurança do Google, PayPal, Samsung e Arizona State University passou um ano inteiro analisando o cenário de phishing ao redor do mundo e a maneira como os usuários interagem com as páginas de phishing.

Em um projeto gigantesco que envolveu a análise de 22.553.707 visitas de usuários a 404.628 páginas de phishing, a equipe de pesquisa conseguiu reunir algumas das idéias mais elaboradas sobre o funcionamento das campanhas de phishing e seus impactos em larga escala.

"Descobrimos que o ataque médio de phishing se estende por 21 horas entre a primeira e a última visita das vítimas e que a detecção de cada ataque por entidades anti-phishing ocorre em média nove horas após a primeira visita da primeira vítima", escreveu a equipe de pesquisa, em um relatório que está programado para ser apresentado este mês, na conferência de segurança USENIX.

"Uma vez detectado o phishing, decorrem mais sete horas antes do pico de mitigação por avisos nativos do navegador."

A equipe de pesquisa chama esse intervalo entre o início da campanha e os avisos nos navegadores de "golden hours" de um ataque de phishing – isto é, quando os invasores fazem a maioria de suas vítimas.

Mas os pesquisadores também dizem que os ataques continuam a fazer vítimas mesmo depois que os avisos do navegador são implantados por meio de sistemas como a API Safe Browsing do Google.

"De maneira alarmante, 37,73% de todo o tráfego de vítimas em nosso agrupamento de dados ocorreu após a detecção dos ataques", anunciaram os responsáveis pela pesquisa.

Além disso, os pesquisadores também analisaram as interações de usuários nas páginas de phishing. Eles disseram que 7,42% das vítimas inseriram credenciais nos formulários das páginas falsas e acabaram sofrendo uma violação ou transação fraudulenta em suas contas.

Em média, criminosos tentam violar contas de usuários e realizar transações fraudulentas 5,19 dias após o usuário visitar o site de phishing, e as credenciais das vítimas acabam em “lixos públicos de dados”, ou portais criminais, cerca de 6,92 dias após o usuário visitar a página utilizada para phishing.

Figura 5: Histograma do tráfego de uma vítima de sites de phishing, com anotações dos estágios do ataque.

A maioria das campanhas de phishing não é bem-sucedida. Em compensação, poucos agentes fazem muitas vítimas

Mas apesar de os pesquisadores terem analisado mais de 400.000 sites de phishing, eles perceberam que a grande maioria das campanhas não é tão eficaz assim e que apenas um punhado de operadores de phishing é responsável pela maioria das vítimas desse tipo de ataque.

"Descobrimos que 10% dos maiores ataques do nosso grupo de dados representavam 89,13% das vítimas visadas e que esses ataques se mostraram capazes de derrotar efetivamente as atenuações de um ecossistema de cibersegurança a longo prazo", alertam os pesquisadores, no relatório.

Eles também disseram que algumas campanhas permaneceram ativas por nove meses, enquanto faziam dezenas de milhares de vítimas, usando nada mais do que "kits de phishing prontos para uso em um único nome de domínio comprometido [site de phishing]".

As descobertas do estudo coincidem com outras hipóteses de especialistas de segurança, que vêm atentando para o fato de os melhores agentes de ameaças se concentrarem em táticas de evasão para evitar serem detectados, sabendo que isso manteria suas campanhas em execução por mais tempo, prolongando as "golden hours".

É necessária mais colaboração para conter os ataques de phishing

A equipe atribuiu a atual situação de vulnerabilidade por parte de empresas e usuários à natureza reativa das defesas anti-phishing, que geralmente são lentas na detecção desses ataques.

No entanto, os pesquisadores também culparam a falta de colaboração entre parceiros do setor, convocando as diferentes entidades anti-phishing a trabalharem juntas.

"A colaboração entre indústrias e entre fornecedores certamente torna todas as entidades mais fortes contra phishing e outros ataques", acrescentou Sherrod DeGrippo, Diretora Sênior de Pesquisa e Detecção de Ameaças da Proofpoint, ecoando a conclusão do estudo.

No entanto, DeGrippo acrescenta que organizações que não trabalham diretamente com anti-phishing e cibersegurança também precisam participar dessa contenção.

"A eficácia dessa defesa adicional envolve registradores de domínio, provedores de certificados de criptografia e empresas de hospedagem para inibir os ataques, o que pode ser um desafio, pois os provedores podem ter recursos limitados.

"Por outro lado, interromper ataques de phishing é vital para ajudar a proteger organizações no mundo todo, e é essencial a colaboração no setor, o compartilhamento de insights e ações efetivas, como impedir o acesso de phish às vítimas", conclui DeGrippo.

O estudo acadêmico completo, intitulado "Sunrise to Sunset: Analyzing the End-to-end Life Cycle and Effectiveness of Phishing Attacks at Scale", está disponível para download em PDF.

Mantenha sua empresa e seus colaboradores protegidos. Consulte a assessoria de especialistas da Compugraf

Compugraf

Especialista em segurança de dados e certificada por parceiros reconhecidos mundialmente, a Compugraf está pronta para proteger sua empresa na era digital.

O que procura?