No léxico da informática, phishing (pescaria) designa uma modalidade de fraude na qual o cibercriminoso "lança uma isca" para engabelar vítimas em potencial e obter lucro de alguma maneira. Essa "isca" é enviada por correio eletrônico, SMS mensagem via Messenger ou WhatsApp etc.
Para induzir o destinatário a seguir suas instruções (abrir um anexo suspeito ou clicar num link malicioso, por exemplo), o atacante se vale da assim chamada engenharia social, e suas chances de êxito dependem diretamente de sua capacidade de engabelar o destinatário e da credulidade ou ingenuidade deste último.
Vale tudo para ilaquear a boa-fé alheia, de “ofertas imperdíveis” a notificações supostamente expedidas por órgãos públicos (SPC/Serasa, Receita Federal, Justiça Eleitoral), operadoras
de telefonia e/ou de TV por assinatura, instituições financeiras, administradoras
de cartões de crédito, etc. Em suma, trata-se
do velho 171 (ou estelionato, ou
conto do vigário; o nome é o que menos importa), só que na modalidade digital.
Uma vez que a pandemia sanitária estimulou o home office e o distanciamento social têm levado as pessoas a ficar conectadas durante mais tempo, seja pelo smartphone, seja pelo computador convencional, era de esperar que os golpistas se aproveitassem desse filão, mas o detalhe (e o diabo mora nos detalhes) é que eles vêm se inovando, ou seja, usado estratégias diferentes para contornar as tecnologias antiphishing.
Uma dessas inovações, que apresenta
altas taxas de sucesso, consiste em enviar os links de phishing a seus alvos por meio de serviços de email
marketing, também chamados de serviços de provedores de email (ESPs), que disparam mensagens em massa como newsletter.
Empresas responsáveis checam as mensagens com mecanismos antivírus, antiphishing e antispam antes de enviá-las às caixas de entrada dos destinatários. Esses mecanismos não só analisam o conteúdo da mensagem, o assunto e os links, mas também verificam a reputação dos remetentes e dos sites vinculados. Por exemplo, se um email em massa provém de um remetente desconhecido, um sinal de alerta é enviado aos algoritmos de segurança.
O problema é que os invasores encontraram um método alternativo: o
envio de emails em nome de empresas
confiáveis.
Os provedores de serviços de email marketing, que
oferecem gerenciamento de boletim informativo de ponta a ponta, cumprem
perfeitamente essa função, pois tem boa reputação. As soluções de segurança liberam
seus endereços IP por padrão — algumas, inclusive, ignoram a verificação de
mensagens que recebem dessas plataformas.
O principal vetor de ataque é o phishing disfarçado de email legítimo. Em suma, os cibercriminosos se tornam clientes do serviço, geralmente pagando pela assinatura básica (até porque eles sabem que mais cedo ou mais tarde acabarão sendo detectados e bloqueados).
Mas há uma modalidade de ataque ainda mais
perigosa: usar ESP como host de URL,
e assim enviar a newsletter pela infraestrutura própria do atacante. Por
exemplo, os cibercriminosos podem criar uma campanha de teste que contenha a
URL de phishing e redirecioná-la para visualização. O ESP gera um proxy para o
referido URL, e os cibercriminosos só precisam obtê-lo para seu boletim
informativo de phishing.
Outra opção explorada pelos golpistas é
criar um site de phishing que se pareça com um template de newsletter e
oferecer um link direto para ele, mas essa modalidade, por ser mais trabalhosa,
é usada com menos frequência.
De qualquer forma, a nova URL de proxy terá “boa
reputação” e, portanto, não será bloqueada. O ESP, que não gerencia o mailing,
não “verá” nada suspeito nem bloqueará seu “cliente” até que comece a receber
reclamações. Às vezes, esses tipos de estratégia também fazem parte do spearphishing (caça-submarina, numa
tradução livre).
Obviamente, a reputação dos ESPs fica prejudicada quando eles são usados como ferramentas para cibercriminosos, donde a maioria desses provedores tem suas próprias tecnologias de segurança e examinam o conteúdo da mensagem e os links que passam por seus servidores (quase todos fornecem orientação para qualquer pessoa que se depare com phishing em seu site).
Como forma de contornar esse problema, os atacantes recorrem a um provedor
de proxy que tende a retardar
os links de phishing, de modo que eles pareçam legítimos num primeiro
momento, e tornem-se maliciosos mais adiante, depois que a checagem tiver sido
realizada pelo ESP.
Para minimizar os riscos — tanto no ambiente
corporativo quanto no particular —, evite abrir emails do tipo “mala direta” —
a não ser, evidentemente, de listas de newsletters em que você esteja inscrito.
Nas demais, é improvável que as mensagens sejam urgentes; na melhor das hipóteses,
trata-se de publicidade intrusiva.
Use soluções de segurança robustas, que checam os emails recebidos utilizando algoritmos heurísticos, como o Kaspersky Security for Microsoft Office 365 e o Kaspersky Security for Mail Server (que integra o Kaspersky Total Security for Business).
