A agência de segurança cibernética dos EUA, CISA, juntamente com a NSA, o FBI e o MS-ISAC, lançaram um guia conjunto detalhando as técnicas de phishing comumente usadas e fornecendo recomendações sobre como mitigá-las.
Nos ataques de phishing, os agentes de ameaças recorrem à engenharia social para induzir as vítimas a revelarem as suas credenciais ou a visitarem um website malicioso destinado a implantar malware ou roubar as suas informações de login, que são então utilizadas para aceder a redes empresariais ou outros recursos.
No phishing por roubo de credenciais, sabe-se que os agentes de ameaças se fazem passar por fontes confiáveis, como supervisores ou pessoal de TI, para enviar e-mails de phishing e convencer os destinatários a revelar seus nomes de usuário e senhas.
Ademais, os invasores foram observados usando dispositivos móveis para enviar mensagens de texto em diversas plataformas de bate-papo e empregando VoIP para falsificar a identificação de chamadas como parte de seus ataques de phishing, observam as agências governamentais dos EUA em a nova orientação (PDF).
Para reduzir o risco de phishing por roubo de credenciais, as organizações são aconselhadas a implementar a autenticação multifator (MFA), mas evitar formas fracas, como MFA sem FIDO ou MFA baseada em PKI habilitada, MFA de notificação push sem correspondência de número e SMS e voz MFA.
O phishing baseado em malware também depende da representação de uma fonte confiável para induzir o destinatário a abrir um anexo malicioso ou seguir um link malicioso, para executar malware que leva ao acesso inicial, roubo de informações, interrupção ou dano do sistema ou escalonamento de privilégios.
Foram observados agentes de ameaças usando ferramentas gratuitas e disponíveis publicamente para enviar e-mails de spear-phishing, enviar anexos maliciosos com scripts de macro e entregar hiperlinks ou anexos maliciosos em serviços de bate-papo populares.
Para reduzir o risco de um ataque de phishing de credenciais bem-sucedido, as organizações devem treinar seus funcionários em engenharia social, definir regras de firewall e ativar proteções de e-mail para evitar e-mails suspeitos ou maliciosos, usar monitoramento de e-mail e mensagens, implementar MFA resistente a phishing, evitar o redirecionamento de usuários para domínios maliciosos, bloquear domínios e IPs maliciosos conhecidos, restringir os privilégios administrativos dos usuários, implementar o princípio do privilégio mínimo e bloquear a execução de macros e malware.
Os fabricantes de software, observam CISA, NSA, FBI e MS-ISA, devem incorporar princípios de segurança por design e segurança por padrão em seus processos de desenvolvimento, para mitigar o sucesso de ataques de phishing que atingem seus usuários.
A nova orientação, observam as agências, destina-se às defesas de rede em todas as organizações, mas também inclui uma secção dedicada às pequenas e médias empresas, que podem ter recursos limitados para se defenderem contra ataques de phishing.