Phishing é um dos métodos mais tradicionais de fraudes na Internet. Veja os principais exemplos no blog da HostGator e aprenda a evitá-los.

O phishing está se tornando rapidamente o vetor favorito dos malwares, provando ser incrivelmente difundido, com várias empresas relatando terem sofrido desse problema! 

Os golpes são abrangentes. Numerosos casos mostram que mesmo os mais experientes e sofisticados em tecnologia podem ser atacados, como o Google e o Facebook, que já sofreram altos prejuízos. 

Os golpes também “acompanham os tempos”, usando iscas populares, como PIX ou auxílio emergencial, por exemplo, e outros elementos que exploram a curiosidade humana. O phishing efetivo está diretamente ligado à cultura e costumes de uma região.

Neste artigo, entenda melhor o que é e como você pode se proteger do phishing!

O que é phishing?

Phishing é um problema de segurança crítico que pode enganar até os usuários mais diligentes e preocupados. Como você protege sua organização de ser de ser fisgada? 

Vamos começar entendendo como funciona o phishing e, em seguida, passamos para dicas práticas para evitar que você morda a isca.

O phishing é uma tentativa fraudulenta de obter informações confidenciais, como credenciais de acesso ou dados de cartão de crédito. Além disso, o phishing também é usado para instalação de malwares no dispositivo eletrônico da vítima, e isto pode ser um computador, um celular ou em alguns casos toda a sua rede corporativa.

As pessoas por trás do golpe se disfarçam de uma entidade confiável em um e-mail ou mensagem instantânea e, dessa forma, enganam os usuários na internet. Basicamente, essa estratégia utiliza uma mensagem muito bem disfarçada, induzindo a pessoa a clicar em um link onde fatalmente ela fornecerá dados confidenciais ou iniciará a instalação de algum malware.

O “phishing” entrou na cultura popular em 2004 e, desde então, tem alargado consistentemente os seus tentáculos ano após ano. Ao longo dos anos, e com o avanço das tecnologias, o número de ataques de phishing aumentou muito! Segundo o Gartner, 95% dos ataques digitais se iniciam por um phishing.

10 principais golpes de phishing de credenciais em 2016 – Fonte: Proofpoint

À medida que cresceu, também, esse golpe gerou múltiplas variantes, como smishing e vishing – phishing via SMS / mensagem de texto e via ligações, respectivamente. Com base no alvo, o phishing pode ser denominado, ainda, “spear-phishing”, que é uma tentativa de roubar informações de uma vítima específica.

Confira nosso E-book gratuito: Tudo Sobre Segurança na Web

Como funciona?

Assim como na pesca, o phishing usa o mesmo mecanismo: te leva a uma isca irresistível que resulta em consequências desastrosas para a pessoa ou a empresa onde trabalha.

Em resumo, os hackers imitam habilmente e-mails de sites legítimos e populares com iscas de cliques atraentes, ou seja, que são difíceis de evitar. A engenharia social inteligente é usada para fazer com que mesmo os mais espertos deem o clique fatal. 

Por exemplo, pode ser o seu “CEO” enviando por e-mail um link para um “convite para reunião”, uma mensagem do WhatsApp de sua amiga, a Netflix compartilhando algo para clicar e por aí vai! 

Não importa o tipo de phishing, ele sempre tem dois objetivos principais:

  • Roubar informações: o link no e-mail, bem disfarçado, abre um site malicioso que se esconde atrás de um domínio confiável falsificado, como um site de banco, cartão de crédito ou um aviso da TI da sua empresa informando que sua senha vai expirar. É comum os hackers atacarem algumas pessoas apenas para conseguir acesso ao ambiente corporativo, ou seja, a vítima é apenas a ponte para o objetivo final.

Em seguida, ele pede que você insira informações pessoais com urgência. As informações que você fornece podem ser usadas para causar algum dano imediatamente (roubar dinheiro de sua conta, enviar spam para outros em sua lista de contatos etc) ou podem ser vendidas na Deep Web, causando consequências devastadoras mais generalizadas, como o roubo de identidade.

  • Trigger Malware: neste caso, o link de phishing abre um anexo contendo malware, como ransomware, criptofishing, etc. Esse é, de fato, o vetor mais amplamente usado para espalhar outros tipos de malware.

Considere isso: você está verificando seu e-mail em trânsito e recebe uma mensagem de um contato conhecido que compartilhou um Documento Google com você.

Quando você clica no botão “Google”, de aparência muito realista, ele leva você para a página de login normal do Google para selecionar sua conta. Ao selecionar a conta, mais uma vez você é levado à página padrão que lhe pede para permitir que o “Google Docs” acesse sua conta. Tudo parece legítimo, certo?

O problema é que este suposto “Google Docs” é um aplicativo de phishing que tira vantagem do fato de que você pode nomear um aplicativo web que não seja do Google com o nome que quiser, incluindo “Google Docs”.

Exemplo de e-mail malware com “Google Docs” – Imagem: AVG

Assim, se você clicar nele, não apenas os golpistas terão acesso total ao seu e-mail, mas também enviarão spam semelhante para todos em sua lista de contatos. Esse golpe é real e foi resolvido pelo Google uma hora depois de ser relatado – uma reviravolta impressionante que reduziu o que poderia ter sido um problema gigantesco.

No entanto, isso destaca o quão inteligente o phishing pode ser. O golpe contornou todas as “bandeiras vermelhas” de phishing por excelência: remetente desconhecido, URL incompleto, site inseguro e, possivelmente, autenticação de dois fatores.

Pensando nisso, como podemos adotar estratégias anti phishing?

Dicas para identificar o ataque

Como o exemplo anterior mostrou, embora seja um dos golpes de phishing “mais inteligentes”, poderíamos todos clicar em um link como esse hipoteticamente. Mesmo que você tenha o software anti-spam e anti phishing mais seguro, um infame golpe de phishing é possível e basta um clique. Aqui estão algumas dicas para identificar melhor os riscos:

  • Verifique o e-mail do remetente: normalmente, o nome do remetente em um e-mail de phishing pode ser um nome autêntico de um contato conhecido ou de um banco / agência de cartão de crédito. No entanto, se você passar o mouse sobre o nome do remetente, ele revelará um endereço de e-mail suspeito.

Em alguns casos mais avançados, esta dica pode não ser útil pois caso seja explorada uma falha de configuração do domínio da empresa, os e-mails podem vir realmente do domínio correto e neste caso fica mais difícil identificar a fraude; 

  • Verifique o URL: a mesma lógica acima se aplica ao URL. O nome do link pode parecer muito legítimo, mas se você passar o mouse sobre o link e verificar o endereço URL suspeito, desconfie que seja falso. Procure por troca de caracteres como l no lugar de 1, ou 0 no lugar de o;
  • Questione o tom do e-mail: os e-mails de phishing geralmente têm um tom típico: eles usam táticas de medo / intimidação que exigem uma resposta urgente (“Depósito de salário recusado. Atualizar informações imediatamente!”). Além disso, solicitam informações pessoais (“Atualize as informações de sua conta”), e vêm com saudações genéricas (“Prezado usuário”). 

Na dúvida, envie um e-mail ao remetente separadamente (sem a opção de resposta), visite o site da empresa em uma nova guia do navegador ou ligue diretamente para a empresa / pessoa física.

  • Fique atento a spams: Sabe aqueles SPAMS que recebemos e acabamos clicando no botão descadastrar? Muitas vezes o phishing está escondido ali, naquele clique.

No nível organizacional, algumas medidas incluem “sandbox” de e-mail para verificar a veracidade de cada link clicado e inspecionar e analisar regularmente o tráfego web. O que pode ser mais eficaz, no entanto, é ter treinamentos regulares de conscientização de segurança da informação.

Além disso, é muito válido conduzir exercícios de simulação de phishing e boletins informativos de segurança por e-mail para garantir que os funcionários estejam cientes de ataques cibernéticos.

Vale lembrar que um clique errado pode infectar toda a rede, prejudicando seus valiosos dados e a reputação de sua organização. E isso também é verdadeiro para aplicativos SaaS, pois eles se tornaram os novos favoritos.

A melhor rede de segurança para a crescente ameaça do cibercrime é a proteção de dados.

Tipos de ataques de phishing

Golpes de e-mail

O phishing de e-mail ocorre quando o invasor envia milhares de mensagens falsas para gerar informações e quantias de dinheiro significativas. 

Como falamos acima, esse invasor fará um grande esforço para projetar mensagens de phishing que imitam e-mails reais de uma organização conhecida. 

Além disso, os invasores geralmente tentarão colocar os usuários em ação criando um senso de urgência. 

Spear phishing

O spear phishing tem como alvo uma pessoa ou empresa específica, ao contrário de usuários de aplicativos aleatórios. É um golpe mais aprofundado de phishing, que requer um estudo especial sobre uma organização, incluindo conhecimento de sua estrutura de poder.

Como prevenir

A proteção contra ataques de phishing exige que os usuários e as empresas se mobilizem em diversos sentidos.

Para os usuários, a vigilância é fundamental. Uma mensagem falsificada geralmente conterá erros quase imperceptíveis que expõem sua verdadeira identidade. Isso pode incluir trocadilhos de ortografia ou alterações em nomes de domínio, como visto anteriormente. 

Para empresas, uma série de etapas podem ser seguidas para mitigar ataques de phishing e spear phishing:

  • A autenticação de dois fatores: um dos métodos mais eficazes para conter ataques de phishing. Ela acrescenta uma camada de verificação extra ao fazer login em aplicativos confidenciais. Na autenticação de dois fatores, espera-se que os usuários tenham a senha de acesso e um nome de usuário, e, ainda, que estejam em posse do aparelho cadastrado, como um smartphone;
  • Além de usar a autenticação de dois fatores, as organizações precisam aplicar políticas rígidas de gerenciamento de senha. Por exemplo, uma ideia bastante eficaz é que os funcionários devem ser solicitados a alterar frequentemente suas senhas. Também é importante não ter permissão para reutilizar uma senha para vários aplicativos.

Por fim, o investimento em campanhas educacionais também pode auxiliar na diminuição da ameaça de ataques de phishing, reforçando práticas seguras, como não clicar em links de e-mail externos.

Este conteúdo foi útil? Esperamos que sim! Aproveite também para ler outros artigos sobre tecnologia, marketing e negócios em nosso blog!

Texto revisado por Denis Lourenço, coordenador de segurança da informação na HostGator