As perguntas sobre phishing, o que é e como funciona crescem a cada dia.
De acordo com o relatório “Email Security Risk Report”, da Egress, 94% das empresas entrevistadas já foram vítimas deste tipo de ataque via e-mail.
Considerando este cenário e a obrigatoriedade das empresas em garantir a segurança no compartilhamento de dados digitais, é fundamental compreender este tipo de ataque cibernético, certo?
Por isso, explicamos tudo sobre o que é e como funciona este golpe, desde os principais tipos até os riscos e como se proteger.
Acompanhe!
O que é e como funciona o phishing?
Phishing é um tipo de ataque cibernético, aplicado com o objetivo de conseguir dados pessoais do usuário, como número do cartão de crédito ou senha.
O termo vem do inglês “fishing”, que significa “pescar”, e faz analogia a essa maneira ilegal de “fisgar” informações”
Esse tipo de ataque acontece quando o phisher (aquele que pratica o ataque) se passa por alguém confiável, como uma instituição bancária, por exemplo, e pede informações pessoais dos usuários.
Isso costuma ser feito por meio de e-mails fraudulentos (spam), mas também pode ser realizado nas redes sociais e em outros canais digitais.
Para entender melhor o que é phishing e como ele funciona, vamos trazer um pouco de história.
Quando surgiu a prática de phishing?
O termo foi usado pela primeira vez em 1996 em um fórum de discussão chamado AOHell, da AOL, principal provedor de acesso à Internet na época.
Hackers se comunicavam pelo provedor e conduziam ataques contra usuários legítimos. Eles se passavam por funcionários da AOL e solicitavam às pessoas a verificação das contas e a entrega de informações de faturamento.
Os riscos do phishing
Os riscos desse crime são relevantes tanto para a pessoa física quanto para jurídica.
As consequências que estes ciberataques podem gerar a nível pessoal são graves, tais como:
- Roubo de dinheiro da conta bancária;
- Postagens falsas na conta pessoal das redes sociais;
- Prejuízos financeiros, como as cobranças fraudulentas em cartões;
- Roubo de informações confidenciais, fotos, vídeos e arquivos pessoais.
Os golpes também colocam as empresas em risco, trazendo problemas como:
- Bloqueio de acesso a arquivos corporativos;
- Danos à reputação e à credibilidade da empresa;
- Prejuízos financeiros, como a perda de fundos corporativos;
- Roubo e/ou exposição de informações confidenciais, como segredos de negócio e dados de stakeholders;
- Instalação de malware (software malicioso) nos computadores corporativos, o que compromete seu funcionamento e sua segurança.
Podemos aprender ainda mais sobre o ataque cibernético a partir de seus tipos.
Quais são os principais tipos de phishing?
Existem vários tipos deste método de ciberataque, mas, os principais são:
- Blind Phishing: o criminoso realiza um disparo em massa de e-mails na tentativa de obter o clique de algum usuário;
- Vishing: envolve a utilização de voz (VoIP) para obter informações confidenciais das vítimas. O atacante liga para a vítima e solicita informações confidenciais por telefone;
- Smishing: envolve a utilização de SMS para enganar as vítimas e, em geral, são mensagens constrangedoras, como a cobrança de dívidas, ou motivadoras, como um prêmio;
- Scam: o cibercriminoso faz contato via e-mail, redes sociais, SMS ou telefone com pessoas, se passando por uma empresa ou instituição confiável, e pede que o destinatário confirme suas informações pessoais;
- Pharming: envolve a manipulação de DNS (Domain Name System) para redirecionar o tráfego de um site legítimo para um site falso. O atacante consegue obter informações confidenciais das vítimas por meio deste site.
- Spear phishing: é um ataque direcionado a um grupo específico de pessoas, como funcionários de uma determinada empresa ou do governo. O objetivo é acessar um banco de dados específico para obter arquivos confidenciais, financeiros ou sigilosos;
- Clone phishing: neste tipo de phishing, o hacker clona um site original para atrair usuários a acessar o site falso e inserir informações cadastrais que serão transmitidas aos criminosos. Na sequência, sem perceber que foi vítima, o usuário é direcionado para a página original;
- Whaling: direcionado a pessoas com maior poder aquisitivo, geralmente CEOs, profissionais de alto escalão e personalidades de relevância. O atacante envia um e-mail para a vítima se passando pela empresa relacionada a estes profissionais. Em geral, os ataques vêm mascarados como notificações empresariais internas.
Como mencionamos anteriormente, os golpes podem acontecer em diferentes canais digitais. Vamos entender melhor essas aplicações a seguir.
Phishing no e-mail: conheça as formas mais comuns
O relatório “Email Security Risk Report”, destacado logo no início deste conteúdo, mostrou que 76% dos ataques de controle de contas começaram com um e-mail.
Para entender este contexto específico do ataque phishing, mostramos a seguir suas principais formas:
- Clonagem de e-mail: o criminoso clona o endereço de um site ou uma marca para enviar a mensagem;
- URL maliciosa: por meio de uma URL, o criminoso utiliza um código para direcionar o usuário à página falsa, onde serão pedidas suas informações;
- Anexo malicioso: é enviado por meio de um anexo, que pode ser uma imagem ou um documento que apresenta códigos para infectar o computador e roubar informações.
Esse tipo de ciberataque pode vir com mensagem sobre conta bancária suspensa, autenticação de dois fatores, restituição de impostos e até confirmação de pedidos.
Por isso, é importante ficar atento aos sinais de uma mensagem fraudulenta, sobre a qual falaremos adiante.
Antes, porém, vamos entender o como o golpe é aplicado no Instagram e nas redes sociais.
Entenda como funciona o phishing nas redes sociais
Nas redes sociais, um golpe de phishing pode vir por meio de campanhas imperdíveis (inexistentes), um suporte especial da rede ou de alguma mensagem que aguça a curiosidade.
Em todos esses casos, há uma tentativa dos criminosos de roubar os dados do usuário. Para tanto, assumem uma identidade enganosa em contas falsas para interagir e solicitar dados.
Eles se passam por uma empresa ou conta confiável e modificam poucos caracteres que passam despercebidos pelos internautas.
A conta oficial de suporte da Amazon, por exemplo, é @amazonhelp, mas eles utilizam a conta falsa @amazon_help.
Portanto, o usuário deve se atentar aos detalhes para não ser vítima desse crime. Veja a seguir alguns elementos que nos ajudam a reconhecê-lo.
Como reconhecer um golpe de phishing?
Saber como se proteger nem sempre é fácil, pois a cada dia os cibercriminosos adotam táticas mais sofisticadas, mas o primeiro passo é saber como reconhecer o ataque.
É importante que todos da empresa estejam atentos aos detalhes para não serem vítimas. Alguns são bem óbvios, como a falta de ortografia na mensagem, porém outros nem tanto.
Confira quais são as principais dicas para reconhecer um golpe:
- Remetentes desconhecidos;
- Mensagens com erros de português;
- Ofertas muito lucrativas sem precedentes ou declarações “sedutoras”;
- Mensagens com pedido de dados pessoais, bancários ou profissionais;
- Links suspeitos, que apresentam caracteres diferentes, como letras trocadas por números;
- Arquivos maliciosos, com anexos que servem de gatilhos para induzir o usuário a clicar nos links;
- Mensagens com senso de urgência ou ameaças, como suspensão ou bloqueio de serviços e contas;
- Conteúdo que desperta a curiosidade, como um suposto vídeo de uma celebridade ou ofertas imperdíveis.
Ao se deparar com esses detalhes, acenda a luz amarela e coloque em prática as dicas compartilhadas a seguir para se proteger
Como se proteger do phishing?
Outro dado interessante divulgado no relatório da Egress está relacionado às ações que motivaram ou deixaram as empresas mais expostas aos incidentes de ataques virtuais.
Dentre elas, se destacaram o envio acidental de e-mails para usuários incorretos, o envio de dados para contas pessoais para fins de trabalho e também a extração de dados visando o ganho pessoal.
Por isso, é preciso falar desse tipo de ataque e segurança da informação, especialmente na capacitação dos profissionais, que devem estar preparados para identificar os sinais de golpe.
Neste sentido, confira algumas medidas que ajudam a evitar os ataques:
- Use plugins antiphishing no navegador;
- Analise as informações e a intenção do email recebido;
- Verifique se o domínio possui o Certificado de Segurança SSL;
- Acione o “Two Steps Verification” ou dupla autenticação para aumenta a segurança nos acessos;
- Faça uma análise do risco para o tipo de negócio e invista em soluções de segurança da informação, como firewalls e antivírus;
- Tenha uma política de uso da internet clara e objetiva, com orientações sobre o tipo de site que pode ou não ser acessado pelos funcionários.
O que fazer em caso de phishing?
Mesmo seguindo todos os cuidados, ainda é possível cair em um golpe via e-mail. Nesses casos, a vítima deve seguir alguns passos simples para diminuir os danos:
- Reportar o golpe às autoridades e às empresas envolvidas, como a instituição financeira;
- Desconectar os dispositivos da internet e da rede, se ocorreu um ataque de ransomware;
- Utilizar antivírus e antimalware, pois o ciberataque pode abrir uma backdoor para trojan ou spyware, por exemplo;
- Atualizar as senhas de contas online;
- Fazer o backup dos arquivos antes que eles sejam infectados ou roubados;
- Ficar atento às novidades sobre fraudes na internet.
Além disso, o crime pode ser denunciado em página própria dos mecanismos de busca, como no Google. Em caso de e-mail, os provedores costumam ter uma opção específica para isso, como acontece no spam.
Novas práticas e tendências na aplicação deste golpe
Com o tempo, os criminosos aprimoram os métodos utilizados nos ataques cibernéticos, por isso é importante acompanhar os principais golpes aplicados em cada momento.
Hoje, alguns dos métodos mais comuns são:
- Qhishing: com o uso de QR Codes maliciosos, os criminosos buscam comprometer a segurança de celulares e outros dispositivos pessoais;
- Golpe de atualização de dados para entrega: solicita dados pessoais ou de cartões de crédito para atualizar cadastros de pagamento com empresa e liberar a entrega de mercadorias;
- Golpe de fatura: e-mails que informam a existência de uma fatura em aberto de algum fornecedor ou empresa, acompanhado por um link para pagamento – que, na verdade, serve para captar os dados do usuário;
- Golpe via download de arquivos: e-mails que solicitam o download de anexos, normalmente no formato PDF, que costumam trazer links para outros sites de acesso ao documento (utilizado para capturar os dados de acesso do usuário).
Além disso, algumas tendências influenciam a aplicação deste golpe, como o uso da inteligência artificial.
Apesar de trazer muitos benefícios, essa tecnologia também pode trazer prejuízos quando utilizada de maneira inadequada e isso tem se tornado uma preocupação entre os líderes de segurança cibernética.
Segundo os dados do “Email Security Risk Report”, mais de 60% dos líderes entrevistados se preocupam com as deep fakes e com o uso de chatbots de IA para a criação de golpes online.
O relatório “Tendência em cibersegurança para 2024”, desenvolvido pela ESET, confirma essa propensão, mas também destaca o uso positivo da IA para:
- identificar diferentes tipos de ameaça;
- apoiar o desenvolvimento de treinamentos de cibersegurança;
- oferecer suporte na identificação e análise de vulnerabilidades;
- gerar relatórios sobre eventos de segurança e responder com agilidade questões frequentes sobre cibersegurança.
A importância da segurança no compartilhamento de dados digitais
Os dados são o novo petróleo e, por isso, estão no centro do mundo corporativo. Mas é preciso ter cuidado para que as informações não caiam nas mãos erradas ou sejam usadas de forma inadequada.
Prezar pela segurança da informação é crucial para as empresas, pois elas lidam com informações sensíveis de stakeholders.
Por isso, investir em boas práticas de segurança é fundamental para garantir a proteção dos dados e evitar problemas futuros.
Uma boa alternativa é contar com um sistema que garanta a autenticidade e a veracidade das assinaturas realizadas em documentos online.
Essa é a proposta da solução TOTVS Assinatura Eletrônica.
TOTVS Assinatura Eletrônica
O TOTVS Assinatura Eletrônica é uma ferramenta segura e confiável que possibilita a assinatura eletrônica de documentos online de forma simples e rápida.
Com a solução, basta fazer o login e selecionar o arquivo que deseja assinar, em qualquer hora e lugar. Os signatários podem optar inclusive pela assinatura digital, com certificado tipo A1 e A3.
Para garantir a segurança dos dados, a solução conta com alto padrão de criptografia e armazenamento na TOTVS Cloud.
Veja como a solução da maior empresa de tecnologia do Brasil pode garantir a segurança da informação na assinatura de documentos!
Experimente grátis por 30 dias o TOTVS Assinatura Eletrônica!
Conclusão
Saber melhor sobre phishing, o que é e como funciona é ficar por dentro de um dos ataques cibernéticos mais comuns no mundo corporativo.
Suas diversas formas podem colocar em risco a segurança da informação nas empresas, especialmente com a LGPD em vigor.
Para evitar os ataques, é fundamental adotar soluções que protegem os dados corporativos, como os antivírus, os firewalls e os sistemas de assinatura eletrônica.
Aproveite para complementar essa leitura e ampliar o seu conhecimento com as nossas dicas para evitar riscos de segurança e tecnologia.
Deixe aqui seu comentário