Um kit de phishing é uma coleção de ferramentas de software que torna mais fácil para pessoas com pouca ou nenhuma habilidade técnica lançar uma exploração de phishing. Phishing é um tipo de fraude na Internet em que o perpetrador envia e-mails falsos ou mensagens de texto que parecem vir de uma fonte legítima. O objetivo é enganar o destinatário para executar uma ação específica que irá beneficiar o atacante -- normalmente, isso envolve fazer com que a vítima clique em um link malicioso, abra um anexo infectado ou autorize uma transferência de fundos.
Um kit de phishing normalmente inclui um software de desenvolvimento de site da Web que tem uma interface gráfica de usuário (GUI) simples e de baixo código/não-código. Este tipo de kit de crimeware normalmente vem completo com modelos de e-mail, gráficos e scripts de exemplo que podem ser usados para criar imitações convincentes de correspondência legítima. Por um preço adicional, alguns kits também podem incluir listas de endereços de e-mail, números de telefone e software para automatizar o processo de distribuição de malware.
Especialistas em segurança recomendam que os usuários se abstenham de clicar em links em mensagens inesperadas que supostamente sejam de um site com o qual eles tenham negócios financeiros. Se não tiver certeza se uma mensagem é válida, os usuários devem ir diretamente ao site oficial e procurar informações lá, ou entrar em contato com o departamento de atendimento ao cliente do site.
Phishing as a Service kits (PaaS kits)
De acordo com Cyren, um provedor de segurança SaaS, kits de phishing-as-a-service baseados em nuvem estão disponíveis na web escura por apenas $50 por mês. Quando os sites de phishing são hospedados em serviços públicos legítimos na nuvem, os criminosos são capazes de apresentar domínios legítimos e certificados SSL, o que pode enganar até mesmo o usuário final mais experiente a pensar que uma determinada página web ou e-mail de phishing é digno de confiança.
Popular security exploits
Kits de phishing são frequentemente utilizados para realizar os seguintes exploits de cibersegurança:
Spear phishing - um ataque de spoofing de e-mail que visa uma organização ou indivíduo específico, buscando acesso não autorizado a informações sensíveis.
Whaling - um tipo específico de ataque de phishing que visa funcionários de alto perfil, como o CEO ou CFO.
SMiShing - um ataque de segurança no qual o usuário é enviado uma mensagem de texto projetada para enganá-los a baixar um cavalo de Tróia, vírus ou outro malware.
Vishing - uma tática eletrônica de fraude conduzida por e-mail de voz, VoIP (voz sobre IP), telefone fixo ou celular.