Empresas precisam ficar atentas ao Phishing as a Service
Do mesmo modo que o crime na vida real se profissionaliza, no ambiente online, se expande. Recentemente, uma operação conjunta entre a Interpol e empresas de segurança cibernética desmantelou um grupo que desenvolveu uma plataforma de Phishing as a Service (PhaaS). O PaaS 16shop fornecia kits a cibercriminosos iniciantes, permitindo que executassem golpes com facilidade, como disparo de e-mails, interface semelhante à de marcas famosas, além de hospedagem e proxy de dados. Segundo notícia da CisoAdvisor, ao menos 70 mil usuários de 43 países foram comprometidos por páginas falsas criadas pela quadrilha.
Mas, afinal, o que é PhaaS e por quê é preciso se preocupar? A técnica de enganar as vítimas eletronicamente para revelar dados sensíveis já é antiga. Contudo, a comercialização desses golpes é relativamente nova, explica Mario Micucci, pesquisador de Segurança Computacional da ESET, companhia de segurança da informação, na América Latina.“Por meio do Phishing as a Service, até mesmo pessoas com habilidades técnicas limitadas podem lançar tais ataques. Pagando uma taxa, esses criminosos oferecem de sites falsificados a campanhas de e-mail em massa e técnicas de evasão de detecção”, frisa.
Outro dado alarmante vem da Proofpoint, empresa de segurança: 78% das companhias brasileiras tiveram, ao menos, uma experiência de ataque por e-mail em 2022, sendo 23% delas sofreram perdas financeiras. Isso porque o phishing, literalmente, “fisga” a vítima por meio de um e-mail aparentemente confiável, causando, por exemplo, o sequestro de dados e exigência de “resgate” via criptomoedas ou transações não rastreáveis. Eis aí mais um golpe, o ransonware.
Segundo a mesma pesquisa, somente sete em cada 10 companhias recuperaram o acesso aos dados depois do pagamento. A recomendação é não ceder as chantagens do criminoso virtual. “Ao tentar contato com o hacker por e-mail, não há garantia que mesmo realizando o pagamento irá receber a senha para acessar os arquivos. Em alguns casos, os criminosos nem mesmo respondem”, alerta Fernando Rodrigues Peres, advogado especialista em Direito Digital e Crimes Cibernéticos, em artigo para a Associação Brasileira de Profissionais da Internet (Abraweb).
Como se prevenir?
Segundo aEgress, desenvolvedora global de softwares, 73% das empresas pesquisadas foram alvo de ataques de phishing;e com a possibilidade de venda e monetização de tais kits só vai exacerbar esse cenário.
Como, então, se prevenir? A primeira recomendação é manter-se atento e, no caso de empresas, investir na capacitação do quadro de colaboradores, em especial ao acesso aos e-mails, já que,como visto,o princípio do golpe está nessa ferramenta.”Sabendo que os ataques acontecem de modo geral por e-mail, uma dica importante é validar os e-mails recebidos, se são confiáveis, confirmar o remetente e se a empresa citada faz o uso de e-mails para aquela oferta”, explica Igor Andrade, especialista em segurança digital da HostGator, especializada em serviços de hospedagem e domínio, ao Terra.
“Às vezes com uma simples vulnerabilidade já consegue realizar disparos de e-mails com engenharia social. Apenas um clique em um link e este instala um keylogger (aplicação que grava as teclas) ou um malware/botnet, transformando a máquina da vítima em um zumbi para uma rede que será posteriormente utilizada pelo mal-intencionado”, arremata o profissional.
Não utilizar softwares operacionais desatualizados ou de origem duvidosa, usar senhas fortes, manter o sistema de antivírus atualizado, com varreduras constantes, além de evitar sistemas corporativos de “porta aberta”, investindo em arquiteturas ZeroTrust, bem como realizar backups periódicos são algumas soluções que precisam ser adotadas, reforçam os especialistas.
Foto: reprodução
Comentários estão fechados.