Barracuda full logo

Ataques de falsificação de identidade em ascensão — incluindo esquemas fraudulentos por telefone sofisticados

Tópicos:
17 jul. 2024
|
Tony Burgess

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) emitiu um alerta em junho, alertando sobre o aumento do número de esquemas de falsificação de identidade que fingem vir de funcionários do governo, incluindo funcionários da CISA.

Isto serve como um excelente lembrete de que a sensibilização sobre segurança tem de ir além de ser capaz de identificar esquemas de falsificação de identidade transmitidos por e-mail e estender essa sensibilização aos perigos colocados por chamadas telefónicas.

E embora os esquemas de falsificação de identidade do pessoal da CISA possam ser especialmente eficazes, são apenas uma pequena fração de um tipo de ameaça que está a colher mais ganhos ilícitos a cada ano.

Dados da FTC: um apelo urgente à ação

De acordo com dados apresentados pela Comissão Federal do Comércio dos EUA (FTC) em abril deste ano, as perdas totais relatadas por esquemas de falsificação de empresas ou governos aumentaram constantemente, de $310M em 2020 para $1.1B em 2023. Cerca de 1 em cada 5 pessoas foi roubada de dinheiro por ameaças de falsificação durante esse período.

O número de esquemas de falsificação de identidade por telefone diminuiu de 2020 a 2023, de 202K para 148K, mas ainda constituem a maior categoria com 32%, em comparação com 26% para e-mail.

As cinco principais formas relatadas de esquemas de falsificação de identidade são:

  1. Alertas de segurança de conta falsa, onde uma mensagem parece ser do seu banco ou da Amazon ou de outra empresa onde tem uma conta potencialmente dispendiosa.

  2. Renovações de subscrição falsas, que parecem notificações de e-mail rotineiras indicando que uma conta à qual não se recorda de ter subscrito será renovada automaticamente, e que lhe será cobrada uma quantia elevada.

  3. Ofertas falsas de brindes, descontos ou dinheiro para reclamar, que podem imitar empresas conhecidas, bem como agências governamentais.

  4. Problemas legais inventados, muitas vezes envolvendo uma alegação de que a sua identidade foi roubada e usada num crime.

  5. Problemas falsos de entrega de pacotes, em que uma empresa de entregas bem conhecida parece estar a informar que há um problema com um pacote endereçado a si.

A importância da urgência

Uma coisa que todos eles têm em comum é um forte sentido de urgência. Se não responder de imediato, pode perder a sua identidade, ou o seu pacote, ou o seu dinheiro. Ou pode até ser preso.

Apesar do aumento da sofisticação e do aprimoramento por IA, não é assim tão difícil detetar esses esquemas se estiver razoavelmente vigilante e não for propenso a pânico ou urgência. Mas e se o seu cartão de crédito tivesse sido usado fraudulentamente no dia anterior? Ou se tivesse encomendado algo caro de uma empresa possivelmente suspeita no estrangeiro? Ou se os seus impostos tivessem sido auditados no ano passado?

A verdade é que quase qualquer tipo de distração intensa ou sensação pré-existente de alarme pode tornar-nos muito mais propensos a cair num esquema de falsificação que nos faz sentir uma sensação de urgência. É por isso que todos tentam fazê-lo.

Ataques híbridos de impostores—maximizar a urgência

A minha colega Christine Barry escreveu recentemente sobre o grupo ou rede de cibercrime Black Basta. Entre as novas tácticas desagradáveis que estão a implementar, ela descreveu uma que utiliza uma tempestade de phishing para aumentar a sensação de alarme entre os funcionários, tornando-os muito mais suscetíveis ao subsequente ataque telefónico de falsificação de identidade.

Desde abril de 2024, um agente de ameaça conhecido como Storm-1811 foi observado a utilizar um novo procedimento para obter acesso a redes de alto valor. Estes ataques começam com um ataque de phishing massivo enviado aos funcionários da empresa-alvo. O ataque inunda as caixas de entrada e deixa os funcionários frustrados e sobrecarregados. Enquanto este ataque de phishing/spam está em curso, o Storm-1811 lança um ataque de phishing por voz (vishing) em que o interlocutor se faz passar por suporte técnico. Se for bem-sucedido, o interlocutor engana o funcionário para que forneça acesso remoto ao sistema através do Microsoft Quick Assist.

A resposta correta, como em praticamente todos os tipos de ataques de falsificação de identidade suspeitos, é certificar-se, neste caso, dizendo "Qual é o seu nome mesmo? Eu já lhe ligo de volta," e procurar essa pessoa no diretório da empresa. 

Mas, no meio de um ataque de spam aparentemente avassalador, quantos de nós não cairiam numa chamada urgente de uma pessoa que diz ser da TI?

Treinar, ensaiar, recompensar

Uma solução de segurança de e-mail que consiga detetar e filtrar ataques de falsificação de identidade tanto quanto possível é muito importante para reduzir o risco de ataques de falsificação de identidade.

Mas à medida que os atacantes continuam a encontrar novas formas de criar urgência, a melhor maneira de combater isso é melhorar a capacidade dos seus utilizadores de manter a calma e responder de forma cuidadosa e sensata a qualquer comunicação potencialmente enganosa. Isso requer formação de sensibilização sobre segurança frequente e bem concebida. Uma solução de formação moderna e automatizada deve incluir:

  • Modelos de simulação constantemente atualizados e baseados na realidade para vários tipos de phishing, incluindo phishing de voz, ou "vishing"

  • Materiais de formação concebidos por especialistas que facilitam o foco da formação nos utilizadores mais vulneráveis

  • Ferramentas de gamificação para facilitar a promoção do envolvimento—e eficácia

  • Modelos de simulação e campanha personalizáveis para garantir que pode adaptar a formação às necessidades específicas da sua empresa

Proteção de E-mail Barracuda é uma plataforma de segurança avançada que oferece ambos. Pode detetar e bloquear uma grande percentagem de ataques de falsificação de identidade utilizando a sua poderosa capacidade de Proteção contra Phishing e Falsificação de Identidade

E também inclui Formação de Sensibilização sobre Segurança, que inclui todas as funcionalidades listadas acima, e mais.

À medida que as soluções técnicas de segurança tornam mais difícil para os atacantes introduzirem malware, o aumento contínuo de phishing, vishing e outros ataques de falsificação enganosa está destinado a continuar. Construir as melhores defesas possíveis — tanto soluções técnicas como uma base de utilizadores capacitada e consciente — é fundamental para minimizar o risco para a sua organização.

Descubra o que Barracuda oferece. (E tenha cuidado da próxima vez que atender o telefone.)

 

Obtenha informações sobre Barracuda Email Protection

 

 

Tony Burgess

Tony Burgess é um veterano de vinte anos na indústria de segurança de TI e é o Senior Copywriter de Conteúdo e Marketing ao Cliente da Barracuda. Nesta função, ele pesquisa temas técnicos complexos e traduz as descobertas em prosa clara, útil e legível para humanos.

Pode conectar-se com o Tony no LinkedIn aqui.

Pesquisar o blogue

O Relatório de Perspetivas sobre Ransomware 2025

Principais conclusões sobre a experiência e o impacto do ransomware nas organizações em todo o mundo

Obtenha o relatório

Subscreva o Blogue Barracuda.

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Segurança de Vulnerabilidades Geridas: Remediação mais rápida, menos riscos, conformidade mais fácil

Veja como pode ser fácil encontrar as vulnerabilidades que os cibercriminosos querem explorar

ASSISTA AO WEBINAR

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Receba as últimas notícias, estudos e análises diretamente na sua caixa de correio eletrónico.