Sabemos que o ambiente virtual é repleto de ameaças e práticas criminosas. E nesse meio há mais de uma maneira de atingir uma vítima, mas uma das táticas mais comum é o phishing. Esse método é utilizado para coletar informações pessoais usando canais como e-mails, SMS e sites fraudulentos. E os cibercriminosos se passam por autoridades e empresas confiáveis para ter sucesso no roubo dessas informações.
Você provavelmente já recebeu um e-mail com phishing. Essa tática de roubar informações pessoais para cometer fraudes é muito comum e tem atingido cada vez mais organizações. Por isso, é importante entender como essa ameaça funciona e a forma correta de se prevenir. No artigo de hoje, explicaremos o que é phishign e daremos dicas importantes de como evitar essa ameaça. Continue a leitura!
Você vai ler sobre:
O que é phishing?
O termo phishing surgiu a partir da palavra em inglês “fishing”, que significa “pescando”. Isso ocorreu porque como em uma verdadeira pescaria, o ataque ocorre quando o hacker lança uma isca para atrair suas vítimas em busca de obter as informações que precisam para cometer o golpe. Dessa forma, o criminoso consegue “pescar” dados e infamações pessoais dos usuários. Isso é feito através de mensagens falsas e atrativas que são disparadas por e-mail, SMS, telefone, formulários suspeitos e outros.
Os ataques de phishing estão cada vez mais avançados. Os hackers se aproveitam de técnicas de engenharia social e fingem fazer parte de uma instituição legítima para convencer os usuários a cederem seus dados. Na maioria dos casos, eles tentam assustar a vítima, dando uma razão importante para ela divulgar suas informações, como por exemplo, dizer que sua conta no banco foi violada.
Em resumo, o phishing é um crime cibernético no qual o hacker engana pessoas para que elas compartilhem informações confidenciais, que podem ser comercializadas na dark web ou usadas para aplicar um golpe maior.
Como essa ameaça funciona?
Os cibercriminosos identificam seus alvos, buscando os grupos de pessoas que desejam atingir. A partir disso eles criam mensagens com uma comunicação destinada a atrair a vítima. Essas mensagens normalmente são disparadas por e-mail, mas como vimos, pode ser por outros canais de contato.
As mensagens parecem legítimas, já que o criminoso está imitando uma pessoa ou organização confiável. Mas, elas contêm links, anexos ou iscas para induzirem o alvo a realizar uma ação específica.
Se a vítima morde a isca e clica no link ou anexo, ela pode baixar um malware no computador ou ser direcionada para uma imitação de um site legítimo. No caso da segunda alternativa, o site exige o login com nome de usuário e senha e com isso, os hackers conseguem acesso as informações enviadas. Essas informações podem ser usadas para roubo de identidades, roubo de contas bancárias ou venda dos dados pessoais.
Então, os criminosos utilizam as emoções dos usuários, como medo, curiosidade e urgência, para obrigá-los a conceder seus dados. Normalmente as mensagens de phishing são sobre problemas de faturamento ou fatura; dívidas; alguém pedindo dinheiro; o governo lhe oferecendo dinheiro; ofertas falsas etc.
Vale ressaltar que basta apenas um ataque phishing ser bem-sucedido para comprometer toda a rede de uma organização. Por isso é importante saber reconhecê-los e adotar técnicas para evitá-los.
Tipos de ataques phishing
Os cibercriminosos trabalham o tempo todo em busca de adotar novas técnicas para roubar dados pessoais. Por isso, existem diversos tipos de ataques phishing. Não é à toa que o Brasil é líder mundial em ataques desse tipo. Os hackers sempre criam sites falsos, falsificam endereço de e-mail e utilizam urls disfarçadas. Então, há uma variedade de técnicas que se enquadra na categoria phishing, confira algumas:
- Blind phishing (ataque cego): um dos mais comuns, no qual os hackers disparam e-mails em massa, sem uma estratégia definida, contando que irão conseguir “pescar” algumas vítimas.
- Spear phishing (pescaria com arpão): tem como objetivo acessar um banco de dados específico para obter as informações que deseja. Por exemplo, o hacker pode se passar por um membro de uma organização e enviar um e-mail para um funcionário que tenha responsabilidades de pagamento para que ele autorize envio de dinheiro para o criminoso.
- Clone phishing (o impostor): é quando os criminosos clonam sites para atrair usuários e fazer com que eles preencham os dados cadastrais de um formulário malicioso.
- Phone phishing ou Vishing: o nome vishing é porque esse ataque utiliza mecanismos de voz para aplicar o golpe. Um ataque comum de vishing é uma ligação de alguém que afirma ser do seu banco e informa que ocorreu uma irregularidade na sua conta para conseguir que você faça algum pagamento ou ofereça informações do seu cartão.
- Whaling: o termo vem do inglês e significa “caçando baleias”, ou seja, esse ataque está ligado à importância do alvo, normalmente são executivos de alto nível, como o CEO ou CFO de uma organização. Um ataque desse tipo pode indicar que a empresa está enfrentando consequências legais para induzir a vítima a clicar no link.
- Smishing: esse é o termo usado para o phishing que é realizado através de SMS. São mensagens de textos que instigam o usuário a tomar decisões imediatas e que contém um link malicioso para levar a vítima a um formulário ou baixar um vírus no dispositivo.
Como identificar o phishing
A habilidade dos ataques do tipo phishing é alta. Normalmente, o site falso é exatamente igual ao original e as formas de contato também são bem convincentes. Dessa maneira, o usuário não suspeita ao preencher suas informações de login. Por isso, é importante conhecer os pequenos detalhes que permitem identificar esse tipo de ameaça. Confira:
- Ameaças:
Normalmente, os ataques de phishing costumam conter ameaças como “sua conta será suspensa se…” ou algo do tipo. Então, sempre se atente à instrução que está sendo pedida, mesmo que seja de organizações confiáveis. As empresas sérias não costumam dar prazos curtos ou imediatos.
- Links externos:
Já vimos que os e-mails de phishing costumam ter links externos maliciosos. Uma das maneiras de verificar a intenção do link é passar o mouse em cima do link para ver a URL. Outra é clicar com o botão direito do mouse para copiar o link e colar no bloco de notas, para você poder analisar a URL. Mas lembre-se que os hackers utilizam domínios muito parecidos com o domínio original e podem usar encurtador para mascarar a URL.
- Remetente desconhecido:
Se a mensagem for de um remetente desconhecido, você deve suspeitar. Mas, como vimos, os criminosos costumam se passar por organizações confiáveis, então também suspeite se receber um e-mail de bancos ou empresas grandes com que você não possui vínculo. Fique atento também aos e-mails estrangeiros.
- Arquivos suspeitos:
Fique atento aos anexos da mensagem. Pode ser um comprovante de depósito, uma multa ou uma proposta de trabalham que irão te induzir a clicar em links maliciosos para roubar seus dados. Ou também pode ser uma mensagem que lhe atraia a baixar um arquivo que irá instalar um malware no seu dispositivo. Então, tenha cuidado também com os arquivos em anexo e evite baixá-los em seu computador.
Como evitar essa ameaça
Agora que você já entendeu como o ataque do tipo phishing funciona e já sabe reconhecê-lo, é importante saber o que deve ser feito para evitar esse tipo de ameaça na sua organização.
Um dos primeiros passos e o principal é treinar e conscientizar os seus funcionários. É importante que todos os membros da organização entendam os perigos do phishing e saibam o que fazer para identificar esse tipo de ataque. É preciso sempre educar e relembrar os colaboradores sobre as medidas básicas para evitar ser vítima de um ataque como esse.
Você também deve criar uma política de rejeição de domínios, pois a maioria dos phishing utilizam domínios que foram recentemente registrados. Com uma política que rejeite e-mails de domínios que possuem, por exemplo, menos de 10 dias no mercado, sua empresa pode reduzir consideravelmente o risco de e-mails maliciosos.
Outro fator importante é contar com a eliminação de privilégios. Com uma boa estratégia de gestão de privilégios, que oferece acesso à recursos importantes apenas quando necessário, você pode evitar que o hacker tenha acesso ao sistema da empresa, mesmo que tenha conseguido roubar os dados de um dos colaboradores da organização.
Sua empresa também pode contar com um filtro anti-phishing nos servidores de e-mail. Vimos que o e-mail é principal canal usado para esse tipo de ataque e com a utilização de filtros anti-phishing você possui uma camada extra de segurança. Eles utilizam a autenticação multifatorial e técnicas para classificar um e-mail malicioso como spam.
Além disso, também existem técnicas e ferramentas para a simulação do phishing. Dessa forma, é possível testar o conhecimento ou a inocência dos usuários da sua organização. A ferramenta de simulação de phishing permite realizar uma campanha de phishing mais direcionada que imita ataques de forma real. Ela oferece modelos baseados em iscas e fraudes vistas em bilhões de mensagens por dia pela.
Esses são alguns passos que você pode colocar em prática para proteger a sua organização contra o ataque de phishing. Mas, é um fato que os cibercriminosos estão contando com técnicas cada vez melhores para realizar seus ataques. Então, é preciso contar com um projeto de segurança abrangente, bem definido e que esteja de acordo com as especificidades do seu negócio. Para isso, você pode utilizar o time de especialistas da Contacta para te ajudar a criar uma estratégia de segurança completa e personalizada.