Bypass de ID na autenticação é a última evolução em campanhas de phishing
3 de novembro de 2022Phishing-as-a-Service (PhaaS) facilita o trabalho dos para fraudadores menos capacitados tecnicamente
A grande variedade de dados que um phisher pode solicitar por meio da Knyght – ferramenta de phishing – é surpreendente
Por Jason Steer CISO, Recorded Future
Os ataques de phishing existem há décadas. Há uma razão para sua popularidade duradoura. As técnicas de engenharia social nas quais se baseiam expõem uma fraqueza que a maioria dos humanos tem ao interagir online: nossa credulidade.
No entanto, os agentes de ameaças se tornaram especialistas em atualizar seus golpes, mesmo quando os destinatários se tornam mais céticos em relação ao que veem online. É por isso que o phishing foi o tipo de crime cibernético número um por contagem de vítimas no ano passado, de acordo com o FBI.
Em outubro, mês da conscientização cibernética, falamos muito sobre o phishing. É difícil dizer a diferença entre e-mails legítimos e de phishing, mesmo com mais de 20 anos de experiência.
Uma oferta recente da dark web identificada pela Recorded Future destaca a sofisticação dos pacotes de phishing modernos disponíveis para fraudadores iniciantes e a crescente dificuldade que instituições financeiras e outras têm em autenticar com sucesso usuários legítimos.
Camadas de Complexidade
O agente da ameaça em questão, ‘Knyght‘, oferece uma variedade de páginas de phishing personalizadas e pré-criadas para vários alvos bancários. A grande variedade de dados que um phisher pode solicitar por meio dessas ferramentas é surpreendente. Inclui não apenas os suspeitos usuais, como logins de contas, dados de cartões de pagamento, impressão digital do navegador e informações pessoais, como endereço de e-mail, número de telefone, data de nascimento e número de segurança social, mas também opções mais avançadas.
Isso inclui um ‘upload de documento de identidade’, que coleta imagens das carteiras de motorista e/ou passaportes das vítimas, permitindo que os golpistas ignorem as verificações de identidade comumente usadas pelos bancos para pedidos de empréstimo.
Também apresentado por Knyght é uma ‘câmera selfie’ projetada para capturar a foto selfie de uma vítima tirada enquanto segura um documento de identidade.
Isso abre a porta para uma gama potencialmente ainda maior de atividades fraudulentas, dado o número de sites e aplicativos que agora usam selfies para registrar e autenticar usuários.
Isso não é tudo!
Os pacotes de phishing oferecidos pela Knyght também apresentam um teste de desafio-resposta CAPTCHA.
Isso funciona em dois níveis. Isso ajuda a incutir confiança na vítima de que ela foi direcionada para uma página de login legítima, enquanto para o cibercriminoso, mantém a página de phishing livre de bots e rastreadores.
Um outro nível de sofisticação no back-end é um recurso de validação de entrada que garante que a vítima só possa prosseguir pelos estágios de verificação de conta se tiver inserido valores legítimos para cada campo de texto. Isso mudará dinamicamente à medida que a página reconhecer o tipo de dispositivo que eles estão usando.
Simples de Operacionalizar
Pior ainda para as empresas que tentam se defender contra o login de conta sofisticado e a fraude de nova conta é que é relativamente fácil transformar o acima em uma campanha de phishing totalmente funcional.
Tudo o que um agente de ameaças precisa fazer é comprar o modelo necessário de uma página de phishing para um banco específico e atribuí-lo a um domínio sob seu controle. Quaisquer dados roubados com sucesso são enviados para um arquivo de dados sob seu controle e sua conta do Telegram ou endereço de e-mail.
Atrair a vítima também é tarefa do agente da ameaça, embora existam técnicas testadas e comprovadas para isso, como campanhas de phishing em massa por e-mail e versões mais direcionadas usando mecanismos de pesquisa e publicidade nas redes sociais. Trata-se de fraude e crime cibernético em grande escala altamente profissionalizados.
Contra-atacando
Então, o que os bancos, outras empresas e especialistas em criptografia podem fazer para revidar?
A primeira etapa é educar os clientes para identificar melhor o e-mail de phishing inicial ou a tática de engenharia social.
Filtros de spam ajustados para detectar indicadores de phishing como vírus, remetentes em branco e palavras-chave também podem ajudar. Eles também devem ser incentivados a instalar antimalware e filtros da Web para bloquear anexos e sites maliciosos, respectivamente.
No lado da segurança corporativa de TI, a inteligência de ameaças pode ser um aliado crítico na luta contra o phishing sofisticado. Monitorar possíveis domínios de typosquatting que são armados em ataques de phishing – incluindo os de fornecedores terceirizados e parceiros com acesso à rede corporativa – é uma boa ideia.
Você também deve monitorar táticas, técnicas e procedimentos populares (TTPs) de campanhas de phishing – quanto mais você souber, mais preparado estará.
A conclusão é que o phishing-as-a-service (PhaaS) torna muito mais fácil para fraudadores menos sofisticados tecnicamente realizar campanhas de phishing.
Como vimos, esses esforços agora apresentam uma variedade de recursos sofisticados. É hora de voltar à vanguarda, facilitando a aquisição e a implantação de recursos poderosos de detecção e resposta a ameaças.
Fonte: Infosecurity
e-COMMERCE & VAREJO
Aqui no Crypto ID você encontra soluções para o varejo que vão proporcionar segurança e confiança entre sua marca e seus consumidores.