Os criminosos cibernéticos estão cada vez mais sofisticados nas formas como visam pessoas. Sites que parecem legítimos, mas que na verdade são perigosos, são uma plataforma comum para suas campanhas.
As pessoas acabam sendo complacentes ao realizar tarefas cotidianas on-line, como pesquisar, fazer compras, pagar contas ou acessar suas redes sociais. Considere as descobertas da pesquisa da Proofpoint em nosso relatório State of the Phish de 2023, que aborda o cenário de ameaças em 2022:
- Mais de um terço dos adultos economicamente ativos executou pelo menos uma ação arriscada, como clicar em um link malicioso, fazer download de malware ou expor seus dados pessoais ou credenciais de login.
- Mais de 60% dos adultos economicamente ativos não sabem que o texto de um link de e-mail pode não corresponder ao site de destino.
Esses pontos de dados sobre deficiências de conhecimento são alarmantes. Nossa pesquisa também mostra que 84% das organizações foram atingidas por um ataque de phishing bem-sucedido em 2022 — e esses ataques dependem de pessoas que cliquem em algo malicioso.
As pessoas são a primeira linha de defesa de uma organização. Examinemos tendências de ameaças recentes na navegação da Web para as quais as pessoas precisam estar preparadas.
- Chatbots com inteligência artificial, como o ChatGPT
- Phishing de autenticação por múltiplos fatores (MFA)
- Ataques de “navegador dentro do navegador” (BitB)
O charme e o alarme dos chatbots com inteligência artificial
Os chatbots com inteligência artificial tornaram-se rapidamente populares devido à sua capacidade de ajudar instantaneamente por meio de interações em linguagem natural. O ChatGPT é o chatbot com inteligência artificial mais conhecido, mas existem outros, como o Microsoft Bing e o Google Bard.
Esses chatbots costumam ser acessados através de um navegador da Web. A instantaneidade com que informações são fornecidas e recebidas gera muitos riscos à segurança, em termos de informações falsas ou enganosas.
As pessoas podem digitar informações pessoais no navegador em resposta a um chatbot com inteligência artificial. Como vimos anteriormente em relação a injeções de código em transações bancárias, qualquer transmissão de informações pessoais através do navegador pode se tornar um alvo para atacantes.
Os chatbots coletam dados do usuário para ajudar a melhorar seu desempenho e personalizar suas interações. Isso também pode gerar preocupações quanto à privacidade de informações de identificação pessoal (PII). Se os dados não são armazenados com segurança ou devidamente criptografados, pode haver algum acesso não autorizado que resulte em violações de dados ou roubo de identidade.
A ameaça do phishing de autenticação por múltiplos fatores (MFA)
Como a MFA tornou-se uma prática de segurança padrão, técnicas de phishing de MFA por interceptação (chamadas “man-in-the-middle”) evoluíram para roubar tokens de MFA.
Em um ataque de phishing de MFA, a vítima visita uma página falsificada que utiliza um proxy reverso para exibir a interface de login de um serviço legítimo. A tentativa de login parece transcorrer normalmente, mas quando a vítima digita seu código de MFA e outras credenciais de usuário, o proxy reverso intercepta e rouba o token de MFA.
Agora o atacante pode passar pela camada de segurança de MFA e entrar na conta do usuário. Ele pode acessar dados confidenciais, informações pessoais e detalhes financeiros. Ele também pode roubar informações pessoais para fins de roubo de identidade ou utilizar a conta para acessar outros sistemas e dados privados.
Cuidado com ataques de “navegador dentro do navegador” (BitB)
Essa forma avançada de phishing de credenciais é difícil de detectar. Além de criar uma página de phishing convincente, o atacante também cria uma janela falsa de login único (Single Sign On ou SSO). É isso que os usuários veem quando decidem entrar em um serviço com credenciais de um site confiável, como Google, Apple ou Twitter.
O login falso de SSO é criado modificando-se o código do site de phishing para adicionar uma outra página separada, incorporada na página de phishing. Quando o usuário digita suas credenciais para o site confiável, o atacante as coleta e pode ter acesso a um componente fundamental da identidade digital da vítima.
Lição: as ações das pessoas são as melhores salvaguardas
Os navegadores de Web têm recursos de segurança que alertam sobre possibilidades inseguras. Porém, eles não impedem a realização de uma ação insegura. Cabe a cada pessoa parar, pensar e agir ou reagir. Por isso a educação para conscientização quanto à segurança é parte essencial de ajudar os usuários a saber como reconhecer ameaças e aplicar seu conhecimento a situações do mundo real.
É fundamental prestar atenção aos detalhes de um site e considerar elementos e comportamentos referentes à sua segurança, como:
- Pop-ups que parecem mensagens do navegador, pedindo que você instale ou faça upgrade de software.
- Downloads gratuitos, como filmes, músicas ou vídeos com software malicioso oculto.
- Ofertas gratuitas em troca de informações pessoais.
- A aparência de marcas conhecidas que gera uma falsa sensação de segurança. Você pode reconhecer a marca, mas as imagens parecem legítimas?
- O nome de domínio principal do site está correto (como “microsoft.com”), mas o restante do URL tem palavras ou grafias incomuns.
- URLs do site que aparecem em resultados de pesquisa, mas que não são links legítimos.
- URLs encurtados de serviços como Bitly e TinyURL que podem mascarar a verdadeira identidade de um link.
- Mensagens de advertência do navegador de que um site não é seguro ou não pode ser autenticado.
- Funcionalidade suspeita do navegador, como a falta de um certificado de segurança.
- Um site que pede a você que digite informações confidenciais ou financeiras. Não faça isso, a não ser que conheça a fonte.
- Mantenha o seu software navegador atualizado para se proteger de problemas de segurança conhecidos. Tenha cuidado com extensões e atualizações automáticas de plug-ins.
“Viagem de navegação na Web” é o tema do kit de conscientização quanto à cibersegurança de 2023 da Proofpoint.
Próximo passo: obter já o kit do mês da conscientização quanto à cibersegurança
Todo outubro é mês da conscientização quanto à cibersegurança — um momento importante para capacitar os usuários a protegerem a si próprios e às suas organizações contra as ameaças de hoje.
Para ajudar nossos esforços neste outubro, a Proofpoint lançou um kit gratuito do mês da conscientização quanto à cibersegurança de 2023 com foco no tema fundamental de uma navegação segura na Web. O kit Viagem de navegação na Web scontém quatro semanas de conteúdo e comunicações selecionados sobre segurança on-line, juntamente com preparações pré-lançamento e sugestões de como montar a campanha.
Faça o download e use nosso kit do mês da conscientização quanto à cibersegurança ao longo de outubro ou sempre que precisar incrementar o seu programa.
Um programa de conscientização quanto à segurança durante todo o ano tem chances de proporcionar resultados melhores no que se refere à redução do risco do seu pessoal. Visite nosso centro de conscientização quanto à cibersegurança para saber mais sobre como transformar os seus usuários em guerreiros da cibersegurança, tanto no trabalho quanto em casa.