A divulgação dos dados decorreu no evento Black Hat em Las Vegas esta semana e agora a gigante tecnológica partilha os dados da apresentação. A primeira conclusão é que o phishing não é assim tão aleatório e desleixado como quanto possa parecer. "Os ataques de phishing têm sido constantemente melhorados", afirma Elie Bursztein, um dos investigadores da Google, por detrás deste relatório.

Os cerca de 100 milhões de emails de phishing que a Google bloqueia todos os dias dividem-se em três categorias principais: spear phishing altamente segmentado, mas de baixo volume e direcionado para indivíduos distintos, “boutique phishing”, que atinge apenas algumas dezenas de pessoas, e phishing automatizado em massa direcionado a milhares ou centenas de milhares de pessoas.

E a duração da análise destes tipos de phishing pode ser bastante diferente. Por norma, a Google analisa os ataques de “boutique phishing” em sete minutos, enquanto as operações de phishing em massa podem demorar 13 horas.

As contas comerciais foram que mais representaram estas tentativas de ataques, com 42%, seguidos por serviços em clouds (25%), instituições financeiras (13%), retalho online (5%) e serviços de entrega (4%).

tek gmail
tek gmail Público alvo dos ataques de phishing

A apresentação também abordou os fatores humanos que facilitam os ataques de phishing. Como Daniela Oliveira observou, investigadora que também participou neste relatório, "quando estamos com um bom humor a nossa precisão na deteção de ataques tende a diminuir". Para isso, a investigadora citou pesquisas que mostram que o aumento dos níveis de hormonas como a testosterona e o estrogénio aumentam o risco de um utilizador ser atacado. Por outro lado, níveis elevados de cortisol, associados ao stress, torna uma pessoa mais atenta e cautelosa.

A investigadora apresentou três táticas persuasivas comuns em convites de phishing: apelos de uma conta com “autoridade”, por exemplo o seu patrão, de ofertas de dinheiro ou avisos de perda financeira por ignorar a mensagem, e apelos para as emoções do destinatário.

E face a estas conclusões os investigadores deixam um conselho, que não passa pelas recomendações de análises de endereços da web em mensagens e em páginas de destino de phishing. Em vez disso, falam numa análise em duas etapas.

Pesquisas anteriores do Google mostraram que a verificação por SMS pode deitar por água a baixo o phishing em maior escala, mas não o mais segmentado, embora tenha funcionado contra 96% das tentativas deste tipo de ataques.

Os avisos no dispositivo são, ainda, bastante mais fortes, anulando 99% dos ataques de “boutique phishing” e 90% das tentativas de spear phishing. Ainda assim, a proteção mais forte vem das chaves de segurança USB, que nos testes do Google derrotaram 100% de todas as tentativas de phishing.

Apesar de tudo, a Google ainda não consegue identificar muitos emails de phishing, por mais improvável que isso possa parecer, considerando todos os dados coletados. Daí o Gmail exibir uma caixa laranja por cima das mensagens que parecem suspeitas, mas que não precisam de significar necessariamente ataques.