El Pescador lança nova simulação Response Phishing

O mantra do “não clique no link”

Você já deve ter ouvido uma recomendação de Segurança da Informação que, caso receba um e-mail suspeito, não se deve clicar no link. Afinal, pode ser uma tentativa de phishing. Criar um phishing para uma ou mais pessoas é relativamente fácil, já que as informações corporativas (como e-mails e telefones) estão disponíveis em redes sociais como o LinkedIn gratuitamente.

 E, como nós sabemos todo phishing tem um link malicioso para que a vitima clique e tenha sua máquina comprometida ou seja direcionado para um site que visa roubar dados.

Mas será mesmo verdade que todo phishing tem um link?

 

BAIXE AQUI O INFOGRAFICO!
BAIXE AQUI O INFOGRÁFICO

Response Phishing 

Para burlar essa recomendação, atacantes criam e-mails para persuadir a vítima de que as mensagens enviadas são reais, sem links, anexos. Apenas uma narrativa focada na relação de confiança.

Exemplo 1

Neste tipo de ataque, o objetivo é estabelecer uma conexão para que haja uma troca de e-mails (quase) legítima, entre funcionários da mesma empresa ou empresas parceiras, como por exemplo: “qual é o e-mail do financeiro da empresa para envio de uma fatura?” ou “qual é o e-mail do RH para envio de currículo?”.

Exemplo 2

Em alguns casos, por já estarem dentro da rede ou obtendo as informações de um perfil público do LinkedIn, os atacantes tentam imitar alguém que a vítima já conhece, criando um domínio semelhante ao da empresa alvo do ataque.

À primeira vista, a mensagem pode parecer legítima, mas se houver a resposta esperada, o próximo passo do ataque é o convite para o clique em um link malicioso (pode ser uma suposta “fatura”, por exemplo), que instalará o malware na máquina da vítima.

Quais informações podem cair em mãos erradas?

Nossas análises identificaram que, nos casos em que as vítimas responderam ao suposto e-mail legítimo, diversas informações internas ou pessoais foram cedidas, tais como: ramais internos, nomes de funcionários, e-mails corporativos, entre outras.

Esses dados foram obtidos não somente pelo conteúdo do retorno, mas também através da assinatura de e-mail da vítima e até pela sua resposta automática de férias.

Seus funcionários estão preparados? Eduque-os!

Para evitar que os nossos clientes sejam vítimas do Response Phishing, criamos um novo treinamento para educar as vitimas dessa campanha:

  1. Quantos e quais usuários estabeleceram uma abertura para continuidade no diálogo imaginando ser uma mensagem verdadeira? No primeiro contato com o atacante, alguma informação interna foi enviada?
  2. As assinaturas de e-mail contém informações corporativas internas, tais como ramal e e-mail? Se sim, quais os cuidados com a assinatura de e-mail?
  3. E no caso de férias? A resposta automática também contém informações internas?
  4. No caso de compartilhamento de informações confidenciais, quais cuidados devem ser observados antes do envio?

Os treinamentos de conscientização de Segurança da Informação não podem ser mais ignorados e devem ser constantes.

Com os nossos diversos treinamentos e campanhas personalizadas, nós capacitamos os seus usuários, evitando que sejam ludibriados por desconhecimento dos ataques mais recentes.

Conheça o Response Phishing, entre em contato!

Siga o El Pescador nas Redes Sociais: Twitter Facebook LinkedIn


Leave a Reply

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

*



Search