Você já deve ter ouvido uma recomendação de Segurança da Informação que, caso receba um e-mail suspeito, não se deve clicar no link. Afinal, pode ser uma tentativa de phishing. Criar um phishing para uma ou mais pessoas é relativamente fácil, já que as informações corporativas (como e-mails e telefones) estão disponíveis em redes sociais como o LinkedIn gratuitamente.
E, como nós sabemos todo phishing tem um link malicioso para que a vitima clique e tenha sua máquina comprometida ou seja direcionado para um site que visa roubar dados.
Mas será mesmo verdade que todo phishing tem um link?
Para burlar essa recomendação, atacantes criam e-mails para persuadir a vítima de que as mensagens enviadas são reais, sem links, anexos. Apenas uma narrativa focada na relação de confiança.
Exemplo 1
Neste tipo de ataque, o objetivo é estabelecer uma conexão para que haja uma troca de e-mails (quase) legítima, entre funcionários da mesma empresa ou empresas parceiras, como por exemplo: “qual é o e-mail do financeiro da empresa para envio de uma fatura?” ou “qual é o e-mail do RH para envio de currículo?”.
Exemplo 2
Em alguns casos, por já estarem dentro da rede ou obtendo as informações de um perfil público do LinkedIn, os atacantes tentam imitar alguém que a vítima já conhece, criando um domínio semelhante ao da empresa alvo do ataque.
À primeira vista, a mensagem pode parecer legítima, mas se houver a resposta esperada, o próximo passo do ataque é o convite para o clique em um link malicioso (pode ser uma suposta “fatura”, por exemplo), que instalará o malware na máquina da vítima.
Nossas análises identificaram que, nos casos em que as vítimas responderam ao suposto e-mail legítimo, diversas informações internas ou pessoais foram cedidas, tais como: ramais internos, nomes de funcionários, e-mails corporativos, entre outras.
Esses dados foram obtidos não somente pelo conteúdo do retorno, mas também através da assinatura de e-mail da vítima e até pela sua resposta automática de férias.
Para evitar que os nossos clientes sejam vítimas do Response Phishing, criamos um novo treinamento para educar as vitimas dessa campanha:
Os treinamentos de conscientização de Segurança da Informação não podem ser mais ignorados e devem ser constantes.
Com os nossos diversos treinamentos e campanhas personalizadas, nós capacitamos os seus usuários, evitando que sejam ludibriados por desconhecimento dos ataques mais recentes.
Conheça o Response Phishing, entre em contato!
Siga o El Pescador nas Redes Sociais: Twitter – Facebook – LinkedIn