Quando o acesso remoto a um sistema é bloqueado e o sistema é corrigido contra vulnerabilidades de segurança conhecidas, a maneira mais fácil de um adversário acessar esse sistema geralmente é por meio de seus usuários. Por esse motivo, as técnicas de engenharia social continuaram a ser um dos pilares do manual do adversário. Por exemplo, o acesso inicial durante o hack da MGM de setembro de 2023 foi obtido por meio de vishing (phishing de voz), ligando para o helpdesk da vítima. Entre as várias técnicas de phishing, Spearphishing Links e Spearphishing Attachments são duas das mais populares na Netskope Security Cloud Platform em 2023.
A análise dos links de phishing em que as vítimas clicaram pode fornecer insights sobre onde os adversários estão tendo mais sucesso em atingir suas vítimas. Por uma grande margem, os usuários clicaram com mais frequência em links de phishing direcionados a aplicativos de nuvem, com um terço desses links de phishing direcionados a produtos da Microsoft. Isso não é surpreendente, já que o Microsoft OneDrive é o aplicativo de nuvem mais popular nas empresas por uma grande margem, juntamente com outros produtos da Microsoft, incluindo SharePoint, Outlook e Teams.
Como os adversários estão enganando suas vítimas para que cliquem em links de phishing? Embora o e-mail continue a ser um canal muito comum, a taxa de sucesso é bastante baixa por vários motivos. Primeiro, as organizações tendem a empregar filtros antiphishing sofisticados para impedir que os e-mails de phishing cheguem às suas vítimas. Em segundo lugar, as organizações normalmente treinam seus usuários para que possam reconhecer e-mails de phishing. Em resposta, os invasores estão usando uma variedade de outras táticas para atingir suas vítimas:
Otimização de mecanismos de pesquisa (SEO) - Os adversários criam páginas da Web que empregam técnicas de SEO para garantir que sejam listadas em mecanismos de pesquisa populares, incluindo Bing e Google. Em geral, as páginas são criadas com base em vazios de dados - conjuntos específicos de palavras-chave que não têm muitos resultados - e são direcionadas a dados demográficos específicos.
Mídia social e aplicativos de mensagens - Os adversários abusam de aplicativos populares de mídia social (como o Facebook) e aplicativos de mensagens (como o WhatsApp) para alcançar suas vítimas usando uma variedade de iscas diferentes.
Mensagens de voz e texto - Os dispositivos móveis geralmente não têm os controles de segurança presentes em dispositivos mais tradicionais, como laptops, o que os torna um alvo popular para ataques de phishing. Ligar ou enviar mensagens de texto para as vítimas estão se tornando métodos cada vez mais populares para espalhar links de phishing.
Contas de e-mail pessoais - as contas de e-mail pessoais tendem a ter controles antiphishing menos rigorosos, portanto, mais e-mails de phishing podem chegar às suas vítimas. Como as contas de e-mail pessoais costumam ser usadas nos mesmos sistemas que as vítimas usam para trabalhar, o phishing para acesso a ativos confidenciais gerenciados pela organização por meio de contas de e-mail pessoais pode ser uma estratégia muito bem-sucedida para os adversários.
Os anexos de spearphishing são um tipo especial de phishing em que o adversário usa anexos para criar um ar de legitimidade - geralmente esses anexos parecem faturas profissionais - e também para contornar os controles de segurança que não inspecionam anexos. Embora haja alguma variedade nos tipos de arquivos que os adversários usam para anexos de phishing (planilhas do Microsoft Excel, arquivos ZIP, etc.), a maioria desses tipos de arquivos é rara. Um número impressionante de 90% dos anexos de phishing são PDFs criados para induzir as vítimas a clicar em um link de phishing.
Semelhante aos links de phishing, os adversários espalham anexos de phishing por vários canais, incluindo e-mails pessoais. O número de anexos de phishing baixados pelas vítimas aumentou para mais do que o triplo de seu nível básico em agosto, quando os adversários começaram a ter mais sucesso enviando suas iscas para as contas de e-mail pessoais do Microsoft Live das vítimas. Nos últimos nove meses, o número de usuários que baixaram um anexo de phishing de um aplicativo de webmail pessoal foi 16 vezes maior do que o número de usuários que baixaram anexos de phishing de aplicativos de webmail de organizações gerenciadas.