Técnicas de Ataque de Phishing
Phishing é aquele velho conhecido da cibersegurança: simples, barato e extremamente eficiente. O problema é que os métodos evoluem sem parar, e hoje já não basta saber que “phishing é só enganar alguém com e-mail falso”. Para te manter seguro (e afiar sua análise), se liga nessas técnicas de ataque, exemplos práticos e dicas de defesa.
1. Pretexting (Pretexto)
O atacante cria um cenário fictício para convencer a vítima a entregar informações ou tomar alguma ação comprometedora.
Exemplo:
Alguém se passando pelo suporte de TI pede, via telefone ou e-mail, que você “verifique suas credenciais” ou “autorize” um procedimento urgente. Também pode rolar o clássico “diretor pedindo pagamento urgente para projeto confidencial”.
Defesa:
Desconfie de urgências e de pedidos não usuais. Sempre confirme a solicitação por um canal independente.
Leitura extra: Social-Engineer.org
2. Spoofing e Impersonation (Falsificação e Personificação)
O atacante forja remetentes, domínios, ou até se passa por alguém do seu círculo, tentando ganhar sua confiança.
- Spoofing de e-mail: O e-mail parece vir de “[email protected]”, mas se clicar ou checar cabeçalhos, descobre-se um domínio falso.
- Impersonation: O cara finge ser seu chefe ou alguém influente.
Defesa:
Sempre confira o endereço real do remetente e, se possível, valide o pedido por outro canal.
Ferramenta: MXToolbox Email Header Analyzer
3. Manipulação de URLs
Links maliciosos estão em toda parte. Eles podem ser:
- URLs encurtadas: O link parece inofensivo, mas pode te levar a qualquer lugar.
- Ferramenta: Unshorten.it
- Homógrafos: Domínios com caracteres trocados (ex: “gοοgle.com” com “o” grego).
- Subdomínios e Typosquatting: Domínios parecidos com o original (“faceb00k.com”, “paypall.com”).
Defesa:
Passe o mouse sobre links antes de clicar. Prefira gerenciadores de senhas que autocompletam só em sites verdadeiros.
4. Encoding (Codificação)
Aqui entram ataques com URLs ou scripts codificados em Base64, hexadecimal, ou URL-encoding, dificultando a detecção por humanos e alguns filtros.
Exemplo:
Anexos ou links adulterados com código embaralhado (principalmente scripts em e-mails).
Defesa:
Ferramentas como CyberChef ajudam a decodificar e analisar conteúdo suspeito. Navegadores atualizados são essenciais.
5. Anexos Maliciosos
Recebeu uma “nota fiscal” em anexo? Documento .docm, .zip, .exe ou PDF pode trazer malware embutido.
Exemplo:
E-mail de cobrança falsa, com anexo do “boleto”.
Defesa:
Jamais execute anexos de origem duvidosa. Confirme a legitimidade, use antivírus atualizado.
Dica: NCSC UK – Suspicious Email Guidance
6. Abuso de Serviços Legítimos
Phishing hospedado no Google Drive, Dropbox ou outros serviços de confiança. O atacante explora a boa reputação do domínio para enganar você.
Exemplo:
Documento compartilhado no Google Drive imita uma tela de login falsa.
Defesa:
Desconfie até de links e arquivos em serviços conhecidos — reavalie o contexto antes de fornecer qualquer dado.
Ferramenta: PhishTank
7. Pharming
Manipulação de DNS ou de roteadores, levando a vítima para sites falsos mesmo digitando o endereço corretamente.
Exemplo:
Você digita “meubanco.com”, mas por conta de DNS alterado vai parar em um site clone.
Defesa:
Use DNS confiáveis (Google, Cloudflare), mantenha firmware de roteador atualizado, fique atento a alertas de certificados SSL.
Ferramenta: DNSChecker.org
Fechando
Conhecer as técnicas é o primeiro passo. Use ferramentas, faça testes internos e invista sempre na conscientização dos usuários. E lembre-se: phishing bom é aquele que nunca vira incidente!
Leituras recomendadas: