Por que o phishing é tão eficiente em dispositivos móveis?

Segurança

Posted on 11 de abril de 2022

Phishing é uma técnica de hacking que faz o usuário acreditar que está interagindo com a interface de um terceiro confiável (seu banco, uma administração, uma empresa conhecida…) números de cartão, número de segurança social, etc.

Uma campanha de phishing caracteriza-se, do ponto de vista do hacker, pela simplicidade da sua execução associada à possibilidade de liderar um ataque em grande escala. Embora tenha se originado na década de 1990, esse tipo de ataque ainda é muito comum hoje.

Até 2017, o vetor preferencial usado para phishing era o e-mail. Mas com o uso extensivo de smartphones, a mídia mudou e as campanhas de ataque se tornaram mais sofisticadas.

Agora, os dias de e-mails desonestos enviados de endereços sem sentido acabaram. E-mails e interfaces de phishing são quase idênticos aos autênticos e, portanto, mais difíceis de impedir. Por outro lado, as tentativas de phishing não são mais apenas para roubar informações pessoais, mas também são usadas para roubar dados corporativos, pois são mais valiosas.

Phishing no computador VS celular: qual é a diferença?

Um comportamento diferente do usuário

A utilização massiva de smartphones, tablets e aplicações móveis no nosso cotidiano, para fins pessoais e profissionais, transforma-os em ferramentas essenciais nas quais confiamos e através das quais estamos mais propensos a cair nas armadilhas dos hackers.

Quando um e-mail de phishing é aberto em um PC, o usuário tem a capacidade de passar o mouse sobre o link para ver para onde redireciona e potencialmente identificar uma URL maliciosa (se não usar o nome da empresa imitada, o que às vezes é o caso). Em dispositivos móveis, no entanto, a exibição da URL não é tão óbvia e intuitiva, tornando esse tipo de ataque menos perceptível.

Muito mais vetores de ataque em dispositivos móveis

Source: Verizon Mobile Security Index

Desde 2017, o e-mail deixou de ser o principal canal para campanhas de phishing, respondendo por apenas 15% dos ataques, e os aplicativos móveis ocuparam o primeiro lugar no pódio. Com poucos recursos de filtragem e detecção de spam presentes nativamente, as mensagens recebidas são exibidas independentemente de seu conteúdo nos telefones celulares.

O advento das campanhas de phishing por meio de aplicativos nativos de SMS e MMS em dispositivos móveis criou uma nova subcategoria de phishing chamada smishing. Em outros aplicativos móveis comuns de várias categorias (redes sociais, jogos, notícias, viagens…), os hackers usam recursos de mensagens.

Seguindo o mesmo princípio dos e-mails, as mensagens enviadas em aplicativos móveis contêm uma mensagem curta, um apelo à ação e um URL malicioso. Muitas vezes, eles estão relacionados a eventos comuns, como um pedido na Amazon que só pode ser confirmado pela atualização dos dados do cartão de crédito ou uma apólice de seguro que precisa de mais informações para ser renovada.

Phishing visando organizações: ameaças e resposta à segurança

Ao equipar os funcionários com dispositivos móveis ou permitir o uso de smartphones pessoais para o trabalho, as organizações se tornaram um alvo muito lucrativo para campanhas de phishing.

A edição de 2020 do relatório anual Data Breach Investigations da Verizon mostra que 32% dos vazamentos de dados corporativos são resultado de phishing e levam a consequências desastrosas: má imprensa, ações legais, perdas financeiras (US$ 3,92 milhões em média)…

Com quase 1,5 milhão de sites de phishing criados a cada mês, 68% dos quais usam HTTPS, as ameaças são onipresentes e, embora a conscientização dos funcionários seja uma boa maneira de reduzir o risco, ela não é totalmente confiável. O estudo da Verizon confirma isso: todos os dias, 2% dos funcionários clicam em um link de phishing.

Os dispositivos móveis estão multiplicando os canais usados pelos hackers e, para que as organizações estejam seguras, as equipes de segurança precisam proteger esses novos pontos de entrada.

Além disso, os métodos usados para evitar o phishing são um fator importante na escolha de uma solução. Uma abordagem simples, mas eficaz, que redireciona os fluxos móveis levanta questões de dependência e privacidade. Por isso, é imperativo ter uma abordagem alinhada com as necessidades e constrangimentos da organização.

A solução Mobile Threat Defense da Pradeo neutraliza todos os tipos de ataques de phishing (e-mail, SMS, aplicativos…) para proteger totalmente o ambiente corporativo.

Fonte: Pradeo