O phishing é um dos tipos de golpes cibernéticos mais usados pelos cibercriminosos. E, apesar de não ser um ataque novo, ele continua fazendo vítimas no mundo todo. De acordo com um relatório da IBM, intitulado Cost of a Data Breach, este tipo de ataque representa cerca de 16% de todas as violações de dados.
Ao contrário da maioria dos ataques cibernéticos, em que são exploradas vulnerabilidades tecnológicas, o ataque abordado neste artigo explora as pessoas. No decorrer deste texto explicamos como as pessoas são usadas para a aplicação do golpe.
Então, se você deseja entender melhor esse golpe cibernético, seus tipos, como identificá-lo, e muito mais, continue com a leitura deste conteúdo até o final. Assim, além de adquirir conhecimento, você saberá como se proteger.
O que é phishing?
O phishing é conhecido como um ataque de engenharia social. Isso porque, como mencionado na introdução deste conteúdo, nenhuma falha tecnológica é explorada, mas sim as pessoas.
Nenhuma ferramenta de segurança cibernética precisa ser explorada para que o golpe seja aplicado, assim como nenhum sistema é violado. Evitando explorar esses recursos, os criminosos conseguem chamar menos atenção para seus movimentos maliciosos. O que ajuda com que o golpe seja aplicado de forma bem sucedida para eles.
A “fragilidade” humana é o principal foco dos golpistas neste tipo de ataque. Isso porque, os phishers, como também podem ser chamados os criminosos cibernéticos neste caso, abusam da confiança das pessoas para aplicarem o golpe.
As vítimas podem ser pessoas comuns, ou pessoas que trabalham em empresas, desde pequeno até grande porte, e que tenham acesso a informações e setores importantes. Os ataques podem ser orquestrados por uma “gangue” de cibercriminosos, ou até mesmo por pessoas maliciosas que atuam sozinhas.
Para que o golpe seja bem sucedido, na visão dos criminosos, é claro, os golpistas se passam por pessoas com autoridade ou pessoas de confiança das vítimas. No tópico abaixo explicamos melhor como isso funciona e os diferentes tipos de golpes. Confira!
Conheça os principais tipos de phishing
O termo “phishing” surge da palavra em inglês “fishing”, ou seja, pescar. O termo faz analogia à “fisgar”. E, para que um peixe fisgue o anzol, é preciso usar uma isca que chame atenção dos peixes.
O mesmo é feito no ataque cibernético. Pessoas maliciosas e golpistas usam de iscas consideradas infalíveis para atrair as vítimas para a armadilha. E, então, roubam as informações que consideram valiosas.
Mas, para que isso seja feito, existem diferentes tipos de golpes de phishing. Cada um deles pode ser usado para uma situação específica.
Tipos de phishing
No entanto, o mais comum é o e-mail. Nesse caso, e-mails fraudulentos, mas que se parecem muito com um enviado por fontes oficiais, é mandado para a vítima. Nele, normalmente é possível encontrar links ou até mesmo arquivos maliciosos.
Ao clicar nesses links ou fazer o download dos arquivos, a vítima pode ser direcionada para uma página da web falsa que irá roubar seus dados. E os arquivos podem comprometer os dados no dispositivo em que foi instalado.
O ataque conhecido como whaling tem como foco os “peixes grandes” de uma organização. Ou seja, os CEOs e gerentes de cargos importantes. Isso porque, quanto mais alta for a posição da pessoa em uma empresa, mais acesso a informações importantes e confidenciais ela terá.
De forma resumida, quanto mais a pessoa tem a perder, mais os cibercriminosos têm a ganhar. Normalmente, também são enviados e-mails fraudulentos para as vítimas.
Malwares disfarçados de arquivos importantes também são outra forma de phishing bastante usada. A vítima pode receber, por e-mail, um arquivo como um boleto para pagar, um documento importante, e quando faz o download, o computador ou smartphone é infectado com um programa malicioso.
As mensagens de textos também podem ser usadas pelos criminosos cibernéticos. Normalmente usam o nome de empresas grandes e conhecidas, como Correios, Amazon, entre outros. Com mensagens dizendo que a encomenda encontra-se em determinado local e para que seja possível recuperá-la é necessário clicar em um link ou realizar algum pagamento.
Todos esses ataques podem ser direcionados a uma pessoa específica, ou enviados de forma geral, em busca de qualquer pessoa que caia na armadilha. Os cibercriminosos costumam ser pessoas muito ardilosas que possuem habilidade em mexer com o emocional das vítimas e garantir a confiança delas.
Como identificar um ataque de phishing
Existem alguns pontos que merecem atenção e ajudam a identificar se estão tentando passar um golpe ou não.
Como, por exemplo, sempre que receber um e-mail, principalmente um que pareça ter sido enviado de alguma instituição importante, verifique cuidadosamente o endereço de envio do e-mail.
Existem duas possibilidades: ou o endereço é completamente diferente do oficial, ou muito parecido, mudando apenas uma letra que, se a vítima não prestar atenção, passa despercebido.
A linguagem usada no corpo do e-mail também deve ser levada em consideração. E-mails de empresas sérias e oficiais costumam ser formais, diretos, mas sem despertar sentimento de urgência ou desespero em quem o recebe.
E-mails fraudulentos costumam ter muitos erros gramaticais. Apesar de que agora os criminosos estão utilizando Inteligência Artificial para mitigar esse problema, às vezes alguma coisa ainda escapa.
Se em nenhum momento do e-mail aparecer seu nome ou outra forma que as empresas oficiais utilizam para se dirigir a você, desconfie! Saudações genéricas, sem o nome da pessoa, são indícios fortes de que aquele e-mail é phishing.
Como se proteger do golpe de phishing
Levando em consideração que as pessoas são os principais alvos dos golpes de phishing, educá-las sobre essas ameaças é fundamental. Para isso, é recomendado que as empresas disponibilizem treinamentos e conscientização em segurança.
Contar com filtros de spam nos e-mails e software antivírus e antimalware também podem ajudar na detecção de arquivos maliciosos. Filtros aplicados nos endereços web impedem o acesso a sites fraudulentos, aumentando a segurança.
Usar a autenticação multifator cria mais uma barreira de proteção nos dados da organização. E, passar a utilizar o conceito de confiança zero também pode aumentar a segurança da empresa.
Na RightSec você encontra, além do treinamento, diversas outras soluções de segurança cibernética. Converse com nossa equipe de especialistas e saiba como contratar nossos serviços!
7 comments
Comentários estão fechados.