Phishing: o que é, riscos, exemplos e como se proteger

Equipe TOTVS | 11 novembro, 2022

As perguntas sobre phishing, o que é e como funciona crescem a cada dia. 

De acordo com a IBM, 17% das empresas sofreram violação de dados maliciosa em 2021 por meio de um ataque direto de phishing. 

Considerando este cenário e a obrigatoriedade das empresas em garantir a segurança no compartilhamento de dados digitais, é fundamental compreender este tipo de ataque cibernético, certo?

Por isso, explicamos tudo sobre o que é phishing, como funciona este ataque, os principais tipos, os riscos e muito mais.

Acompanhe!

Phishing: o que é e como funciona?

Phishing é um termo em inglês que significa “pescar” e se refere a uma técnica de engenharia social utilizada para obter informações confidenciais de usuários da internet.

Esse tipo de ataque acontece quando o phisher (aquele que pratica phishing) se passa por alguém confiável, como uma instituição bancária, por exemplo, e pede informações pessoais dos usuários, como número do cartão de crédito ou senha.

Esse ataque costuma ser feito por meio de e-mails fraudulentos (spam), mas também pode ser realizado nas redes sociais e em outros canais digitais.

Para entender melhor o que é phishing e como funciona, vamos trazer um pouco de história.

A história por trás do termo “phishing”

O termo phishing foi usado e utilizado pela primeira vez em 1996 em um fórum de discussão chamado AOHell, da AOL, principal provedor de acesso à Internet na época.

Hackers se comunicavam pelo provedor e conduziam ataques de phishing contra usuários legítimos. Eles se passavam por funcionários da AOL e solicitavam às pessoas a verificação das contas e a entrega de informações de faturamento.

Ainda pensando em phishing, o que é e como o ataque se dá, podemos aprender mais a partir de seus tipos.

Nova call to action

Quais são os principais tipos de phishing?

Existem vários tipos de phishing, mas, os principais são:

  • Blind Phishing: o criminoso realiza um disparo em massa de e-mails na tentativa de obter o clique de algum usuário.
  • Vishing: envolve a utilização de voz (VoIP) para obter informações confidenciais das vítimas. O atacante liga para a vítima e solicita informações confidenciais por telefone.
  • Smishing: envolve a utilização de SMS para enganar as vítimas e, em geral, são mensagens constrangedoras, como a cobrança de dívidas, ou motivadoras, como um prêmio.
  • Scam: o cibercriminoso faz contato via e-mail, redes sociais, SMS ou telefone com pessoas, se passando por uma empresa ou instituição confiável, e pede que o destinatário confirme suas informações pessoais.
  • Pharming: envolve a manipulação de DNS (Domain Name System) para redirecionar o tráfego de um site legítimo para um site falso. O atacante consegue obter informações confidenciais das vítimas por meio deste site.
  • Clone phishing: neste tipo de phishing, o hacker clona um site original para atrair usuários a acessar o site falso e inserir informações cadastrais que serão transmitidas aos criminosos. Na sequência, sem perceber que foi vítima, o usuário é direcionado para a página original.
  • Spear phishing: é um ataque direcionado a um grupo específico de pessoas, como funcionários de uma determinada empresa ou do governo. Quando você pensar o que é spear phishing, lembre-se de que o objetivo é acessar um banco de dados específico para obter arquivos confidenciais, financeiros ou sigilosos.
  • Whaling: direcionado a pessoas com maior poder aquisitivo, geralmente CEOs, profissionais de alto escalão e personalidades de relevância. O atacante envia um e-mail para a vítima se passando pela empresa relacionada a estes profissionais. Em geral, os ataques vêm mascarados como notificações empresariais internas.

Neste momento, você já sabe bastante sobre phishing, o que é e quais são seus principais tipos. E os riscos que esse ataque oferece a nível pessoal e empresarial?

Os riscos do phishing

Quando pensamos em phishing, os riscos são relevantes para a pessoa física e jurídica.

As consequências que estes ciberataques podem gerar a nível pessoal são graves, tais como:

  • Roubo de dinheiro da conta bancária;
  • Postagens falsas na conta pessoal das redes sociais;
  • Prejuízos financeiros, como as cobranças fraudulentas em cartões;
  • Roubo de informações confidenciais, fotos, vídeos e arquivos pessoais.

Os golpes de phishing também colocam as empresas em risco:

  • Bloqueio de acesso a arquivos corporativos;
  • Danos à reputação e à credibilidade da empresa;
  • Prejuízos financeiros, como a perda de fundos corporativos;
  • Roubo e/ou exposição de informações confidenciais, como segredos de negócio e dados de stakeholders;
  • Instalação de malware (software malicioso) nos computadores corporativos, o que compromete seu funcionamento e sua segurança.

Entendeu melhor o que é phishing e os riscos que este ataque cibernético traz para indivíduos e empresas?

Caso ainda tenha ficado com dúvidas, trouxemos alguns exemplos de phishing.

Exemplos de phishing

Como vimos, existem diversos tipos de phishing, como o e-mail, que é o mais comum. A seguir, vamos ver alguns exemplos para ilustrar as situações tanto a nível pessoal quanto a nível corporativo.

Exemplo 1: o profissional do setor administrativo recebe um telefonema, supondo-se ser da operadora de celular utilizada na empresa.

O criminoso pede para que o funcionário confirme as informações cadastrais de uma série de telefones, pois o sistema está sendo atualizado, por meio do link que será enviado.

Ao clicar no link inserido na mensagem, o profissional acaba cadastrando as informações na página falsa.

Exemplo 2: em um ataque de spear phishing, os criminosos fazem um estudo aprofundado sobre a CEO da empresa e cria para ela uma mensagem específica e bem direcionada sobre uma intimação judicial. Por ter um conteúdo relevante e despertar um senso de urgência, ela clica no link.

Com esses exemplos de phishing, é possível compreender como os criminosos atuam, certo?

Considerando o que é phishing no email, o tipo mais comum, que tal nos aprofundarmos um pouco neste ataque?

Phishing no e-mail: conheça as formas mais comuns

Um relatório elaborado pelo Centro de Queixas de Crimes na Internet (IC3) do FBI apontou que o phishing foi a ameaça mais prevalente nos EUA em 2020, com 241.342 vítimas. 

Só os ataques de Business Email Compromise trouxeram prejuízos de 1,8 bilhões no mesmo ano.

Para entender este contexto específico do phishing e o que é o ataque por e-mail, mostramos a seguir suas principais formas:

  • Clonagem de e-mail: o criminoso clona o endereço de um site ou uma marca para enviar a mensagem. 
  • URL maliciosa: por meio de uma URL, o criminoso utiliza um código para direcionar o usuário à página falsa, onde serão pedidas suas informações.
  • Anexo malicioso: é o phishing enviado por meio de um anexo, que pode ser uma imagem ou um documento que apresenta códigos para infectar o computador e roubar informações.

Percebeu o que é phishing no e-mail? Ele pode vir com mensagem sobre conta bancária suspensa, autenticação de dois fatores, restituição de impostos e até confirmação de pedidos.

Por isso, é importante ficar atento aos sinais de uma mensagem fraudulenta, sobre a qual falaremos adiante.

Antes, porém, vamos entender o que é phishing no Instagram e nas redes sociais.

Entenda como funciona o phishing nas redes sociais

Os golpes de phishing também estão presentes nas redes sociais, como Facebook e Instagram.

Eles podem vir por meio de campanhas imperdíveis (inexistentes), um suporte especial da rede ou de alguma mensagem que aguça a curiosidade.

Em todos esses casos, há uma tentativa dos criminosos de roubar os dados do usuário. Para tanto, assumem uma identidade enganosa em contas falsas para interagir e solicitar dados.

Eles se passam por uma empresa ou conta confiável e modificam poucos caracteres que passam despercebidos pelos internautas.

A conta oficial de suporte da Amazon, por exemplo, é @amazonhelp, mas eles utilizam a conta falsa @amazon_help.

Portanto, o usuário deve se atentar aos detalhes para não ser vítima desse crime. Quer saber como evitar ataques de phishing? Veja alguns elementos que nos ajudam a reconhecê-los!

Como reconhecer um golpe de phishing?

Saber como se proteger do phishing não é fácil, pois a cada dia os cibercriminosos adotam táticas mais sofisticadas. O primeiro passo é reconhecer o ataque.

É importante que todos da empresa estejam atentos aos detalhes para não serem vítimas do phishing. Alguns são bem óbvios, como a falta de ortografia na mensagem, porém outros nem tanto.

Confira quais são as principais dicas para reconhecer um golpe:

  • Remetentes desconhecidos;
  • Mensagens com erros de português;
  • Ofertas muito lucrativas sem precedentes ou declarações “sedutoras”
  • Mensagens com pedido de dados pessoais, bancários ou profissionais;
  • Links suspeitos, que apresentam caracteres diferentes, como letras trocadas por números;
  • Arquivos maliciosos, com anexos que servem de gatilhos para induzir o usuário a clicar nos links;
  • Mensagens com senso de urgência ou ameaças, como suspensão ou bloqueio de serviços e contas;
  • Conteúdo que desperta a curiosidade, como um suposto vídeo de uma celebridade ou ofertas imperdíveis.

Ao se deparar com esses detalhes, acenda a luz amarela e saiba como evitar ataques de phishing!

Como se proteger do phishing?

O elemento humano continua a conduzir violações de dados. Em 2022, conforme relatório da Verizon, 82% das violações ocorreram com o elemento humano. E isso envolve uso de credenciais roubadas, phishing, e outras ações.

Por isso, é preciso falar de phishing e segurança da informação, especialmente na capacitação dos profissionais para ficarem atentos aos sinais de golpe.

E como evitar ataques de phishing? Veja algumas medidas:

  • Use plugins antiphishing no navegador;
  • Analise as informações e a intenção do email recebido;
  • Verifique se o domínio possui o Certificado de Segurança SSL;
  • Acione o “Two Steps Verification” ou dupla autenticação para aumenta a segurança nos acessos;
  • Faça uma análise do risco para o tipo de negócio e invista em soluções de segurança da informação, como firewalls e antivírus;
  • Tenha uma política de uso da internet clara e objetiva, com orientações sobre o tipo de site que pode ou não ser acessado pelos funcionários.

Como saber se fui alvo de phishing?

Caso você receba um e-mail com os sinais que acabamos de mencionar, você foi alvo de phishing. Para confirmar, basta fazer uma busca na internet, pois é comum ver reclamações sobre o endereço de e-mail ou link recebido. 

Além disso, quem teve dados sigilosos vazados, como login de redes sociais ou número de cartão de crédito, pode notar movimentações estranhas nesses recursos.

E como se livrar de phishing?

O que fazer em caso de phishing?

Você sabe como se livrar de phishing? A vítima deve seguir alguns passos simples para diminuir os danos:

  1. Reportar o golpe às autoridades e às empresas envolvidas, como a instituição financeira;
  2. Desconectar os dispositivos da internet e da rede, se ocorreu um ataque de ransomware;
  3. Utilizar antivírus e antimalware, pois o phishing pode abrir uma backdoor para trojan ou spyware, por exemplo;
  4. Atualizar as senhas de contas online;
  5. Fazer o backup dos arquivos antes que eles sejam infectados ou roubados;
  6. Ficar atento às novidades sobre fraudes na internet.

Como denunciar phishing?

O phishing pode ser denunciado em página própria dos mecanismos de busca, como no Google. Em caso de e-mail, os provedores costumam ter uma opção específica para isso, como acontece no spam.

É também possível denunciar atividades criminosas na internet ao Internet Crime Complaint Center, do FBI.

Qual a diferença entre phishing e pharming?

O phishing é um tipo de ataque em que o criminoso utiliza técnicas para obter informações confidenciais. 

Pharming é um tipo de phishing em que o hacker age diretamente nos DNS para direcionar a vítima a um site falso.

Phishing e spam são a mesma coisa?

Não. O phishing é um tipo de ataque cibernético específico, que envolve a manipulação de pessoas para obter dados sensíveis. Já o spam é uma mensagem não solicitada, comercial ou não, enviada em massa.

A importância da segurança no compartilhamento de dados digitais

Os dados são o novo petróleo e, por isso, estão no centro do mundo corporativo. Mas é preciso ter cuidado para que as informações não caiam nas mãos erradas ou sejam usadas de forma inadequada.

Prezar pela segurança da informação é crucial para as empresas, pois elas lidam com informações sensíveis de stakeholders. 

Por isso, investir em boas práticas de segurança é fundamental para garantir a proteção dos dados e evitar problemas futuros. 

Uma boa alternativa é contar com um sistema que garanta a autenticidade e a veracidade das assinaturas realizadas em documentos online.

Essa é a proposta da solução TOTVS Assinatura Eletrônica.

TOTVS Assinatura Eletrônica

O TOTVS Assinatura Eletrônica é uma ferramenta segura e confiável que possibilita a assinatura eletrônica de documentos online de forma simples e rápida. 

Com a solução, basta fazer o login e selecionar o arquivo que deseja assinar, em qualquer hora e lugar. Os signatários podem optar inclusive pela assinatura digital, com certificado tipo A1 e A3. 

Para garantir a segurança dos dados, a solução conta com alto padrão de criptografia e armazenamento na TOTVS Cloud.

Veja como a solução da maior empresa de tecnologia do Brasil pode garantir a segurança da informação na assinatura de documentos!

Experimente grátis por 30 dias o TOTVS Assinatura Eletrônica!

Conclusão

Saber melhor sobre phishing, o que é e como funciona é ficar por dentro de um dos ataques cibernéticos mais comuns no mundo corporativo.

Suas diversas formas podem colocar em risco a segurança da informação nas empresas, especialmente com a LGPD em vigor.

Para evitar os ataques, é fundamental adotar soluções que protegem os dados corporativos, como os antivírus, os firewalls e os sistemas de assinatura eletrônica.

Conheça 9 práticas para proteger sua empresa contra os ciberataques!

Artigos Relacionados

Deixe aqui seu comentário

Deixe um comentário

O seu endereço de e-mail não será publicado.


Usamos cookies para fornecer os recursos e serviços oferecidos em nosso site para melhorar a experência do usuário. Ao continuar navegando neste site, você concorda com o uso destes cookies. Leia nossa Política de Cookies para saber mais.