Técnica de Phishing BitB é o novo golpe de roubo de informações

Phishing é o termo em inglês para os ataques cibernéticos que roubam dados pessoais, uma das ameaças mais comuns atualmente. Apesar de ser comum, a técnica pode ser evitada com alguns cuidados básicos entre empresas e usuários. É nesse sentido que a phishing BitB se diferencia como um golpe quase imperceptível dentro do navegador.

Vamos entender melhor como essa nova técnica de roubo de dados pessoais funciona? Continue a leitura, conheça a estratégia por trás do golpe e aprenda como se proteger!

Mas, o que é o Phishing?

Para saber o que é o Phishing BitB, o primeiro passo é entender o conceito básico de Phishing. A palavra escrita com “ph” é uma variação de “fishing” que, traduzida para o português, significa “pescaria” ou “pescar”.

Para “pescar” os dados pessoais e/ou corporativos das vítimas - que podem ser senhas, dados bancários ou qualquer informação que seja relevante para ele, o cybercriminoso utiliza iscas por e-mail, aplicativos de mensagem, redes sociais e outros mecanismos, como já mostramos aqui no blog.

Quais são os tipos mais comuns de Phishing?

1) Falsos e-mails ou mensagens de aplicativo

Os hackers enviam e-mails maliciosos que parecem ser de empresas reais. Os exemplos clássicos são os e-mails que dizem ser de instituições financeiras, onde induz o usuário a atualizar os dados cadastrais de forma urgente, e caso isso não seja feito, ele pode ter a conta bancária cancelada.

A pessoa recebe essa mensagem e acaba por clicar em algum link fraudulento. A partir desse momento é “pescada” e tudo o que for digitado é coletado pelo criminoso. Essa forma de Phishing pode acontecer também por meio dos aplicativos de mensagem, como o Whatsapp. E acontece da mesma forma, com um link suspeito e uma mensagem tentadora.

2) Phishing do Dropbox

O Dropbox é um tipo de armazenamento em nuvem muito usado pelas pessoas. Os criminosos cibernéticos se aproveitam disso para criar e-mails como se fossem do Dropbox que podem levar o usuário a fazer login em um site fraudulento.

3) Phishing no Google Docs e Google Drive

Da mesma forma que acontece com o Dropbox, os criminosos também podem usar as plataformas do Google, como o Google Docs e Google Drive, para atrair as vítimas. São criados falsos e-mails que induzem o usuário a logar com sua conta pessoal em uma página falsificada. Assim, dados e documentos importantes armazenados na nuvem podem ser roubados.

4) Phishing “peixe grande” ou whaling

O Phishing whaling é mais “profissional” costuma ter as empresas como alvo principal, ao lançar iscas para profissionais de altos cargos nas organizações. Quando o colaborador “peixe grande” cai no golpe, vários e-mails ou mensagens são disparados solicitando a outros colaboradores senhas, dados bancários ou arquivos importantes.

5) Phishing ransomware

O Phishing ransomware diz respeito à instalação de um malware no computador da pessoa. Da mesma forma que acontece nas outras técnicas, o usuário acaba clicando em um link que instala o programa malicioso usado para roubar informações.

6) Phishing pharming

O modo pharming de Phishing pode ser considerado um tipo bem perigoso, já que ele ataca o servidor DNS das empresas. O ataque pode acontecer com a instalação de um cavalo de tróia em algum computador host ou diretamente na rede. Com a rede da empresa nas mãos, os hackers conseguem coletar informações de vários usuários ao mesmo tempo.

7) Spear Phishing

Tipo de golpe bem planejado que visa atingir um número menor de pessoas. Nessa técnica, são enviados e-mails ou mensagens personalizados com informações persuasivas que levam o usuário a acreditar que está recebendo o conteúdo de alguém familiar.

8) Smishing SMS

O smishing SMS é um tipo de Phishing que chega nos celulares por mensagens de texto se passando por empresas que oferecem algum tipo de prêmio. O SMS engana o usuário com um link malicioso que leva a uma página criada pelo criminoso para inserir dados pessoais.

9) Phishing vishing

Muito cometido nos celulares ou até mesmo em telefone fixo, o Phishing vishing é criado com mensagens automáticas e ligações repetidas que se passam por empresas para induzir a vítima a digitar informações e dados pessoais.

E agora, além de todas essas formas de ataques, o mais novo golpe é o Phishing BitB, que, diferente do Phishing comum, ataca dentro do navegador. Acompanhe a seguir como essa nova técnica de ataque cibernético funciona!

Nova técnica de Phishing BitB: o ataque do navegador no navegador

Um golpe que não descansa e rouba informações de pessoas e empresas todos os dias. Esse é o Phishing BitB, o novo ataque sorrateiro e devastador que pode enganar até pessoas mais experientes nesse tipo de ameaça.

O termo BitB vem de “browser-in-the-browser” que significa que o ataque cibernético acontece dentro do navegador que o usuário está usando no momento, muitas vezes a partir das janelas de login pop-up.

Como o Phishing BitB funciona?

No Phishing BitB, os criminosos criam e simulam um domínio falso muito parecido com o original, que pode ter algum detalhe diferente, como por exemplo, uma letra (um "O" no lugar de um zero).

Mas, para o usuário, o domínio exibido é o real, com todas as letras que formam o endereço do site. E, a partir de um botão, o golpe acontece, tendo as janelas de login pop up (aquelas que se abrem “por cima” do navegador) como as grandes iscas.

Os criminosos criam um site falso - uma espécie de “clone” do original - e colocam um botão de login pop-up. Ao usar sua credencial para acessar o site por meio dos serviços "fazer login com" (Google, Facebook, Microsoft, Apple, etc), a vítima acaba permitindo o acesso do criminoso aos seus dados.

Apesar de ser uma técnica extremamente sofisticada, existem algumas formas de perceber que a janela pop-up não é verdadeira no caso de Phishing BitB:

• ao tentar arrastá-la para fora do browser, você não vai conseguir, pois ela não sai de dentro do navegador;
• ou então, quando você tentar minimizar somente a janela pop-up, irá minimizá-la junto com o browser.

Geralmente, o Phishing BitB é utilizado para roubar a credencial de acesso utilizada pela pessoa - como o login e senha do e-mail. Porém, nada impede que o golpe evolua para uma página anterior ou posterior que solicite mais dados como RG, CPF, dados bancários e de cartão de crédito, por exemplo.

Proteja-se do Phishing BitB: 3 dicas para se livrar do ataque

Para saber como se proteger do Phishing BitB é preciso se atentar para algumas medidas de segurança na web. Separamos 3 dicas para manter você longe desses ataques cibernéticos:

• Use um gerenciador de senhas para todas as suas contas: ele verifica o endereço real da página onde você vai inserir suas credenciais de login.
• Instale uma solução web com módulo antiphishing: ela verifica a URL e enviará o alerta caso constate que a página seja maliciosa.
• Use a autenticação de dois fatores: habilite essa opção em seus logins, inclusive nas redes sociais. Mesmo que os invasores tentem acessar sua conta, eles não conseguirão seguir adiante, pois é preciso utilizar o código único da autenticação de dois fatores. Prefira aplicativos terceiros, como o Google ou Microsoft Authenticator, ao invés do defasado SMS. Ou ainda, tokens físicos.

Saiba como denunciar o phishing

Quando perceber que está frente a frente com um site malicioso, você pode denunciá-lo. Para isso, faça a denúncia à equipe de navegação segura do Google (Google Safe Browsing). Acesse “Denunciar página de phishing”, insira a URL e adicione um comentário (opcional).

Invista em soluções efetivas antiphishing

A IB Cybersecurity pode te auxiliar e combater os ataques cibernéticos dos diversos tipos de Phishing, inclusive o Phishing BitB. Oferecemos variadas soluções com tecnologia inovadora para garantir mais proteção e segurança a sua empresa.

Nossa equipe está capacitada e pronta para implementar na sua TI as melhores práticas do mercado. Clique aqui, entre em contato com a gente e agende uma demonstração!