Você sabe o que é phishing? Apesar desse termo parecer relativamente novo, ele pode remeter a vários tipos de riscos bastante familiares, e os prejuízos desse tipo de ataque já não são novidade aqui no Brasil.
Em 2017, o dfndr lab classificou essa ameaça como a segunda maior no período, com 21 milhões de detecções. Em 2020, o registro é de que 47 milhões de golpes aconteceram. Já em 2021, a PSafe estima que o phishing fez mais de 150 milhões de vítimas.
Como você pode perceber, este é um perigo que não para de crescer. Descubra tudo sobre ele e aprenda a proteger seus dispositivos agora mesmo, com a leitura deste post.
O phishing é um tipo de ciberataque que se assemelha a uma tentativa de enganar usuários da tecnologia digital. Geralmente ocorre via e-mail, mas também pode aparecer em forma de ligações, mensagens em redes sociais e SMS.
Frequentemente os autores se disfarçam de alguém que você conhece ou de uma instituição conhecida, como um banco, uma marca famosa ou qualquer instituição legítima para atrair indivíduos. O objetivo é conseguir o fornecimento de dados confidenciais, como informações de identificação pessoal, dados bancários e senhas.
Os conteúdos típicos de phishing também podem conter links que, quando acessados, levam o usuário a um site ou programa fraudulento. Nele, um programa de software mal-intencionado roubará informações pessoais do seu computador, como senhas, arquivos e números de contas bancárias.
Essas informações são usadas para acessar contas importantes e até mesmo roubar sua identidade ou seu dinheiro. Também é possível adquirir bens em seu nome e realizar outras atividades fraudulentas.
Enquanto o SPAM se trata de todo tipo de comunicação eletrônica enviada em massa e sem autorização do destinatário, o phishing se encaixa dentro desta categoria com um diferencial: ele é expressamente projetado por um agente maligno para tirar vantagem de você ou sua empresa.
Os tipos mais comuns de SPAM incluem encaminhamentos de correntes, conteúdo adulto, newsletters e solicitações de boletins indesejados (normalmente de natureza comercial). Já o phishing se disfarça de uma mensagem aparentemente confiável, cujo remetente pode ser um falso banco, uma pessoa se passando por recrutadora ou um anúncio de uma premiação/bonificação que não existe. Tudo com o objetivo de obter informações confidenciais.
Para entender melhor o que é phishing, é preciso que você conheça os riscos e consequências que estes tipos de ataques podem gerar a nível pessoal e corporativo.
Algumas consequências que o phishing pode causar para uma pessoa que o acessa em seu dispositivo pessoal incluem:
Algumas consequências que o phishing pode causar no âmbito profissional incluem:
Você sabe identificar um ataque de phishing via e-mail? Cerca de 97% das pessoas que utilizam internet não sabem. Este foi o resultado de uma pesquisa da Intel sobre hábitos de consumidores digitais, ao analisar suas capacidades de reconhecer e-mails falsos. A pesquisa contou com 20 mil participantes em 144 países do mundo, e apenas 3% dos usuários conseguiram identificar os e-mails maliciosos (sendo que 80% se enganaram ao apontar os e-mails legítimos como falsos).
Nos testes, os homens se saíram melhor que as mulheres, e os países que tiveram melhor desempenho foram: França, Suécia, Hungria, Holanda e Espanha. Os Estados Unidos aparecem apenas na 27ª posição.
Para que você não faça parte da estatística de possíveis vítimas, é preciso ter um olhar apurado para este tipo de golpe. Veja abaixo o que pode ser verificado em cada dispositivo.
Também é importante desconfiar caso você encontre qualquer detalhe abaixo em seu conteúdo:
Leia mais: Como saber se um link é phishing no WhatsApp
Como saber se um link é phishing no Facebook
Se você receber um e-mail suspeito, a primeira dica é não abri-lo. Em vez disso, denuncie o conteúdo à sua empresa como suspeita de phishing. Quanto mais cedo suas equipes de TI e segurança forem avisadas sobre a ameaça potencial, mais cedo sua empresa poderá tomar medidas para evitar que danifiquem sua rede.
Caso receba o conteúdo em seu computador pessoal, denuncie-o e bloqueie o remetente. A maioria dos e-mails serviços online hoje já apresentam essa opção diretamente em um botão ou menu.
Se você perceber que se envolveu acidentalmente com um ataque de phishing e forneceu qualquer informação confidencial, deve relatar a ocorrência diretamente a um profissional especializado em segurança da informação. Se você não informar o ataque imediatamente, poderá colocar seus dados e sua empresa em risco.
Se há um denominador comum entre todos os ataques de phishing, é o disfarce. Os invasores falsificam o remetente para que pareça que ele está vindo de outra pessoa, criam sites falsos que se assemelham muito a aqueles em que a vítima confia e usam conjuntos de caracteres estrangeiros para disfarçar URLs.
Ainda assim, há uma variedade de técnicas que se enquadram no conceito de phishing. Existem maneiras diferentes de dividir os ataques em tipos. Conheça agora os principais deles.
O spear phishing tem como alvo indivíduos específicos, em vez de um amplo grupo de pessoas. Dessa forma, os invasores podem personalizar suas comunicações e parecer mais autênticos.
O spear phishing costuma ser a primeira etapa usada para penetrar nas defesas de uma empresa e realizar um ataque direcionado. De acordo com uma análise feita pelo SANS Institute, 95% de todos os ataques à redes corporativas são resultado de um spear phishing bem-sucedido.
Quando os cibercriminosos vão atrás de um “peixe grande” como um CEO, este tipo de ataque é chamado de “whaling” (algo como “caça às baleias”, em português). Esses invasores geralmente gastam um tempo definindo o perfil do alvo para encontrar o momento oportuno e os meios corretos para roubar credenciais de login.
O whaling é considerado um ataque de alta gravidade, que causa bastante preocupação porque executivos de alto nível podem ter acesso a uma grande quantidade de informações confidenciais da empresa.
O “smishing” nada mais é do que a junção das palavras “SMS” e “phishing”. Ou seja: trata-se da fraude de phishing praticada exclusivamente via SMS. Neste tipo de ataque (geralmente praticado em nomes de bancos ou instituições financeiras), a vítima recebe uma mensagem de alerta, com intenção de coletar informações pessoais ou fazer o destinatário acessar links suspeitos.
A sigla BEC (business email compromise) se refere a um disfarce de e-mail corporativo. Essas mensagens geralmente assumem a forma de solicitações “urgentes” de uma empresa, pretendendo ser de uma equipe sênior, como o CEO ou CMO. Eles usam táticas de engenharia social para enganar os membros mais jovens da equipe, fazendo-os enviar dinheiro para o destinatário errado ou revelar informações comerciais confidenciais.
Você já recebeu algum DM suspeito de um desconhecido? Muitas vezes, invasores fazem uma pesquisa sobre suas vítimas nas redes sociais e outros sites para coletar informações detalhadas e, em seguida, planejar o ataque.
O phishing bancário consiste em sites falsos, iguais às páginas de instituições bancárias, criados para enganar os usuários e roubar suas credenciais do banco, como tokens, senhas, números da conta, dados de cartão de crédito, entre outros.
O phishing de voz, ou “vishing”, é uma uma chamada telefônica fraudulenta, projetada para obter informações confidenciais. Nelas, o criminoso pode ligar fingindo ser um agente de suporte, ou representante de sua empresa. Novos funcionários são mais vulneráveis a esses tipos de golpes, mas eles podem acontecer com qualquer pessoa – e estão se tornando mais comuns.
O phishing pode estar mais presente em sua rotina do que você pensa, e acompanhado de outras armadilhas virtuais. Confira abaixo em quais veículos este golpe pode se esconder (ou até mesmo complementar).
Estamos falando de páginas ou notificações com avisos falsos sobre o funcionamento do celular, induzindo o usuário a instalar um aplicativo ou redirecionando-o a outro link malicioso. Esta modalidade ficou em segundo lugar no ranking do dfndr lab, somando mais de 60 milhões detecções em 2017.
Sites que cadastram automaticamente ou induzem o usuário a se cadastrar em um serviço pago de SMS também se enquadram em ataques de phishing. O golpe do SMS pago somou, em 2017, mais de 20 milhões de detecções, ficando em terceiro lugar no ranking do dfndr lab.
Estes tipos de contas são criadas com o objetivo de aplicar golpes de estelionato ou espalhar notícias falsas. No caso de estelionato, os perfis falsos se passam por marcas famosas e induzem o usuário a acessar páginas falsas que roubam credenciais bancárias. Existem também os scammers, que são pessoas que se passam por terceiros para conquistar a confiança de suas vitimas e, depois, aplicar golpes.
As Fake News (ou notícias falsas, em português) são conteúdos sensacionalistas produzidos com a intenção de levar os usuários da internet a uma determinada página, para visualizar anúncios publicados ali. Os temas, geralmente polêmicos e exagerados, também podem ser criados com o intuito de manipular a opinião pública.
Um malware se refere a todo e qualquer arquivo ou aplicativo que apresenta comportamentos nocivos para o usuário. Este tipo de ameaça se divide em algumas subcategorias, que são:
Segundo Emilio Simoni, diretor do dfndr lab, os cibercriminosos podem obter diferentes retornos sobre cada tipo de fraude digital.
“Não dá para generalizar o lucro dos criminosos, pois ele pode variar muito. No ransomware, por exemplo, o hacker cobra dinheiro da vítima para devolver os dados sequestrados ou para realizar o desbloqueio do celular. Os demais tipos de ciberataques podem levar ao download de aplicativos perigosos, o registro do telefone da vítima em serviços de SMS pagos e, outra prática comum, é o celular do usuário passar a receber dezenas de propagandas diárias. A cada visualização de publicidade, download de aplicativos maliciosos e assinaturas de SMS, o hacker ganha dinheiro”, explica Simoni.
Como você pode ver, o número de ataques de phishing cresce a cada ano. Isso porque, além da popularização do golpe, criminosos confiam na criação de um senso de urgência para obter sucesso com suas abordagens. Momentos de incerteza (como a pandemia do coronavírus) oferecem uma grande oportunidade de atrair as vítimas.
Durante uma crise, as pessoas se sentem ansiosas e inseguras. Querem informações e estão procurando a orientação de seus empregadores, do governo e de outras autoridades relevantes. O resultado? Mais de 5 milhões de downloads de aplicativos não-oficiais da da Caixa Tem e do Auxílio Emergencial.
Outro exemplo pode ser baseado na alta taxa de emprego atual. Isso favorece a disseminação do “golpe da falsa vaga de emprego”, que já teve mais de 346 mil detecções em 2021. Nela, os cibercriminosos se passam por gerentes de grandes marcas, como Amazon, ou simplesmente prometem altos salários em vagas de meio período, sem mencionar a empresa.
Diante da necessidade de apoio, é fácil entender por que uma mensagem que parece ser de uma dessas entidades e promete novas informações (ou instrui os destinatários a concluir uma tarefa rapidamente) receberá mais adesão do que antes da crise. Um clique impulsivo depois, o dispositivo da vítima pode ser infectado.
Os especialistas de segurança do dfndr separaram algumas dicas essenciais para você não cair em golpes de phishing.
Agora que você já sabe o que é phishing e como escapar dele, não pare por aí. Preparamos mais um conteúdo com 10 dicas para se proteger de malware, phishing e e-mails falsos para você aprimorar ainda mais a segurança de seus dados!
"Golpe do @", o novo golpe descoberto com o dfndr security já tem mais de…
Empresa foi convidada a colaborar na construção do relatório “O impacto e futuro da Inteligência…
Conheça o novo golpe que se aproveita do maior evento esportivo do mundo
Modalidade de phishing se tornou a campeã de detecções em 2022, acumulando mais de 5…
Golpe do Auxílio, criminosos estão utilizando indevidamente o nome do programa e prometem transferência em…
Presente nas principais redes sociais, perfis do ‘Robô do PIX’ induzem pessoas a acessarem links…