Enigma do e-mail: por que o Canadá é atingido por tantos ataques de phishing?
O Canadá se tornou um alvo cada vez mais popular para ataques de phishing, de acordo com vários fornecedores de segurança, mas os motivos para o aumento permanecem um mistério.
O Canadá se tornou um alvo cada vez mais popular para ataques de phishing, de acordo com vários fornecedores de segurança, mas os motivos para o aumento permanecem um mistério.
Embora vários relatórios mostrem que o Canadá é cada vez mais alvo de ataques de phishing, os especialistas não têm certeza do que está por trás do aumento.
De acordo com o “RSA Quarterly Fraud Report: Q1 2020”, 66% de todos os ataques de phishing observados durante esse período foram direcionados a usuários no Canadá. Foi o segundo trimestre consecutivo em que o Canadá foi alvo de dois terços das atividades de phishing e o quinto trimestre consecutivo em que o país foi de longe o alvo mais popular.
Em uma pesquisa “Canadian Internet Registration Authority”, que entrevistou 1.985 canadenses que possuíam um domínio “.ca” entre novembro de 2017 e janeiro de 2018, incluindo sites pessoais e comerciais, 85% receberam um e-mail de phishing. Em 2019, o PhishLabs publicou seus principais países alvo para ataques de phishing, que descobriu que o Canadá viu um aumento substancial no volume de phishing a partir de abril de 2018, colocando-o em segundo lugar no geral. Além disso, um relatório de inteligência de ameaças de 2020 da Check Point Software Technologies determinou que 96% dos ataques a usuários canadenses eram baseados em e-mail, o que estava bem acima da média global.
Apesar dos dados, não está claro por que o Canadá se tornou um alvo tão popular para ataques de phishing. Por um lado, é comum que os agentes de ameaças visem usuários em países desenvolvidos com altos níveis de conectividade com a Internet e uso de tecnologia.
“O Canadá é um alvo atraente para os cibercriminosos por uma série de razões, incluindo finanças, recursos naturais, tecnologia digital e telecomunicações”, disse um porta-voz do Canadian Centre for Cyber Security em um e-mail para SearchSecurity.
Lotem Finkelsteen, gerente do grupo de inteligência de ameaças da Check Point, disse que os atores da ameaça são conhecidos por seguir o dinheiro, e o Canadá tem uma boa economia com negócios prósperos.
Mas isso não explica por que o Canadá, com uma população de menos de 40 milhões de pessoas, recebeu um volume tão maior de e-mails de phishing em comparação com outras nações desenvolvidas. De acordo com a pesquisa da RSA, os EUA ficaram em segundo lugar na lista de nações mais visadas, com apenas 7% dos ataques de phishing durante o trimestre. Os pesquisadores de ameaças têm várias teorias sobre o motivo pelo qual o Canadá parece ter um phishing tão pesado, mas nenhuma das teorias foi confirmada, e mesmo o próprio RSA não ofereceu uma explicação definitiva para a atividade anormalmente alta.
As teorias
Uma teoria notável gira em torno de campanhas massivas de phishing que têm como alvo bancos canadenses interconectados, o que aumentaria os números. Daniel Cohen, chefe de produtos antifraude da RSA, disse que muitos dos ataques de phishing no Canadá têm como alvo a Interac, um provedor de serviços de pagamento usado pela maioria das instituições financeiras canadenses. Com uma única campanha focada na Interac, disse ele, os cibercriminosos podem potencialmente afetar vários bancos no país.
No passado, pesquisadores de ameaças observaram grandes campanhas de phishing que visam a Interac. Em 2019, a Check Point detectou a nova campanha de phishing que se fazia passar pelo Royal Bank of Canada. O ataque enviou e-mails com aparência legítima contendo um anexo em PDF para várias organizações e vítimas do Canadá. A Check Point rastreou mais de 300 domínios semelhantes que hospedavam sites de phishing para 14 bancos que usam o Interac.
Outra teoria é que grande parte da atividade de phishing está sendo gerada no Canadá. Por exemplo, Finkelsteen disse que a Check Point acredita que os atores da ameaça por trás da campanha de 2019 eram na verdade do Canadá.
“O ator (ou atores) da ameaça realmente conhecia o mercado no Canadá – sabia quais serviços bancários estavam disponíveis – de cartões de crédito a empréstimos. Eles estavam familiarizados com a vida cotidiana dos negócios no Canadá e, ao compreender isso, eles foram capazes de atingir empresas lá e sempre alterar as páginas de phishing, alterando o logotipo ou ícone “, disse Finkelsteen por e-mail. “Eles se adaptaram e mudaram rapidamente sua página da web. Por causa disso, tínhamos uma longa lista de sites de phishing e páginas diferentes a cada vez.”
A Check Point disse que a tendência de mais ataques de phishing originários do Canadá foi observada pela primeira vez por sua equipe de pesquisa em 2019, e a tendência continuou este ano.
“Vemos que os agentes de ameaça que estão atacando o Canadá são na verdade canadenses, o que é muito incomum. Uma vez que você tem agentes de ameaça trabalhando no país, você fica obviamente mais vulnerável a ataques de phishing. No Canadá, eles falam francês e inglês e têm seus próprias palavras e terminologia, para que alguém esteja familiarizado com o dia a dia lá “, disse Finkelsteen.
No geral, mais ataques de phishing ocorrem em inglês porque ele é mais comumente usado no mundo dos negócios.
“Globalmente, vemos 80%, mas no Canadá são 96% dos ataques baseados em e-mail. Isso remonta aos últimos seis meses”, disse Finkelsteen. “Um em cada cinco ataques teve origem no Canadá.”
PhishLabs também viu um aumento nos ataques vindos do Canadá; no ano passado, o fornecedor viu um aumento de 170% na atividade de phishing no país. Mas o relatório do primeiro trimestre da RSA mostrou que quase 60% dos ataques de phishing se originaram nos Estados Unidos, enquanto o Canadá foi o sétimo na lista de países anfitriões.
Também existe uma teoria de que os dados podem estar errados. Enquanto a pesquisa do PhishLabs no ano passado mostrou que o Canadá ficou em segundo lugar na lista dos países mais phishing, os EUA foram o líder esmagador com 84% dos alvos. PhishLabs disse que suas observações eram inconsistentes com as descobertas da RSA.
“Suspeitamos que seja devido à maneira particular como medem o volume de ataques”, disse um porta-voz da PhishLabs em um e-mail para SearchSecurity. “Embora não saibamos os detalhes exatos, suspeitamos que os dados da RSA no que diz respeito ao Canadá estão inflados devido à contagem de cada marca envolvida em um ataque de phishing multimarca como ataques individuais. Isso teria um grande impacto no volume.”
Inundação de phishing
Outra teoria sugere que os cibercriminosos têm visto uma taxa de sucesso maior visando os usuários canadenses e, como resultado, concentraram mais seus esforços no país. Daniel Tobok, CEO da Cytelligence, empresa canadense de resposta a incidentes, observou um rápido aumento nos ataques de phishing nos últimos cinco anos.
“Tem sido um grande problema no Canadá”, disse Tobok. “O phishing se tornou uma ferramenta e tanto para os cibercriminosos. Ele é responsável por 76% de todos os ataques que levam ao ransomware atualmente. As pessoas perceberam que podem colocar firewalls e outras proteções para manter os bandidos afastados, mas ainda são vulneráveis a cliques links e clique em emails. “
A força de trabalho remota impulsionada pela pandemia aumentou esses ataques, disse Tobok, porque os usuários não estão mais protegidos.
“Com senhas desatualizadas em firmware ou roteadores – demos aos bandidos um Natal antecipado”, disse Tobok. “Em geral, acho que somos mais tranquilos no Canadá e ingênuos e menos suspeitos.”
Em média, a Cytelligence lida com 100 investigações por mês no Canadá e nos Estados Unidos. Quando se trata de ataques de phishing, Tobok disse que é uma divisão 60/40 a favor do Canadá. No entanto, muito disso pode ser atribuído à maior população e número de empresas nos EUA
“Criminosos e outros agentes maliciosos de ameaças cibernéticas – muitos dos quais operam fora das fronteiras do Canadá – tiram proveito de lacunas de segurança, baixa conscientização sobre segurança cibernética e desenvolvimentos tecnológicos em um esforço para comprometer sistemas cibernéticos”, um porta-voz do Centro Canadense de Segurança Cibernética disse em um e-mail para SearchSecurity.
Tobok disse que as empresas canadenses, assim como as multinacionais com presença no país, deveriam dedicar mais tempo e energia à educação dos usuários. “O que vemos é que eles têm um perfil cada vez maior e um aumento nas ameaças”, disse ele.
Os atores da ameaça frequentemente tentam tirar proveito da falta de comunicação entre os escritórios regionais, bem como da falta de familiaridade entre os funcionários, e exploram a paciência e a tolerância dos usuários, disse ele. O treinamento de conscientização de segurança pode ajudar os funcionários a detectar, por exemplo, uma solicitação corporativa fraudulenta de dados ou fundos.
“A segurança de e-mail [tecnologia] é importante, mas o treinamento de conscientização é fundamental”, disse Tobok. “Você precisa ser um pouco paranóico e cauteloso e realmente questionar alguns dos e-mails.”