O termo phishing vem do inglês, fishing que significa pescaria, e tem esse nome, pois define a ação “fisgar”, roubar dados e informações confidenciais, sejam senhas, dados financeiros, dados bancários, números de cartões de crédito ou simplesmente dados pessoais.
Essa prática foi assim denominada porque requer do atacante que a utiliza paciência, sendo também silencioso, sorrateiro, de maneira que você nem perceberá que está sendo enganado.
Mas, como funciona o phishing e de onde ele vem? O phishing é uma inteligência utilizada por um criminoso bem famoso: o hacker. Os ataques hackers são executados nos seguintes pilares: objetivo, estratégia, inteligência e o alvo.
Conheça a série que desvenda os ataques hackers, e descubra cada uma dessas etapas. Confira:
Do mesmo modo que a pescaria tem várias táticas, o phishing utiliza-se de várias estratégias. Uma das mais comuns é através do e-mail ou mensagem de texto, que engana a vítima, simulando uma pessoa ou organização em que a mesma confie, como um colega de trabalho, órgão governamental ou banco.
Uma vez que a pessoa abre o e-mail ou o texto, encontra uma mensagem assustadora que incentiva a deixar o senso crítico de lado, amedrontando-a.
A mensagem exige que a vítima acesse um website e execute uma ação imediata, ou assuma um risco por algum tipo de consequência.
Caso o usuário morda a isca e clique no link, o atacante envia um website legítimo. A partir daí, eles pedem para fazer o login com nome de usuário e senha.
Se a pessoa obedecer, as informações de acesso são enviadas aos criminosos, que as usam para usurpar identidades e contas bancárias, e vendem os dados pessoais no mercado negro.
Nossa! O phishing pode causar enormes estragos, concorda?! Mas quais os diferentes tipos, como e onde atuam, de que maneira você pode reconhecer os meios que eles atuam, e o mais importante: como se proteger deles?
Calma, a seguir, responderei todas essas perguntas. Vamos lá?
Diferentes tipos de Phishing
Assim como outras inteligências utilizadas em ataques hackers, os phishings têm tipos diferentes, e, apesar de todos terem o objetivo de roubar dados, é importante que você saiba identificá-los e mantenha-se seguro. Vejamos alguns deles:
- Blind Phishing
Esse é o mais comum de todos, disparado via e-mail em massa e sem muitas estratégias, que contam apenas com a “sorte” de que algum usuário caia na armadilha.
- Spear phishing
A maioria das campanhas de phishing enviam e-mails em massa para o máximo de pessoas possível. Já o spear phishing, tem um alvo específico. Ele atinge uma pessoa ou organização específica, fazendo isso através de um conteúdo personalizado para a vítima, ou vítimas.
Ele necessita de um reconhecimento pré-ataque para descobrir nomes, cargos em empresas, endereços de e-mail e outras informações desse tipo.
Os hackers investigam a internet para combinar essas informações com outros dados pesquisados sobre o alvo, com nomes e relações profissionais dos principais funcionários das empresas. Assim, o phishing cria um e-mail aceitável.
Por exemplo, um invasor pode executar um spear phishing com um funcionário, cujas responsabilidades incluem conceder pagamentos.
O e-mail parece que foi enviado por um executivo da organização, solicitando que o funcionário faça o pagamento de uma quantia significativa para ele, ou para um fornecedor, quando, na verdade, o link de pagamento malicioso envia a quantia para o invasor.
O spear pode trazer enormes prejuízos para empresas, sendo uma ameaça muito séria. No relatório de 2016 sobre o assunto, o spear phishing foi responsável por 38% dos ciberataques nas empresas participantes durante o ano 2015.
- Clone phishing
Neste tipo de ataque, os criminosos copiam (ou clonam) um e-mail legítimo recebido anteriormente que contenha um link ou um anexo. Posteriormente, o phisher substitui os links ou arquivos anexos por conteúdo malicioso, para que passe pelo item verdadeiro.
Usuários inocentes clicam no link ou abrem o anexo que, normalmente, permite que seus sistemas sejam recrutados. O phisher pode falsificar a identidade da vítima, para que outras pessoas pensem que ele é um remetente confiável, da mesma organização.
- Phone phishing
As tentativas deste phishing são baseadas em telefone, também chamado de voice phishing ou “vishing”, o phisher liga dizendo ser representante de seu banco local, polícia ou mesmo a Receita Federal.
Logo após, eles assustam você com algum tipo de problema e solicitam que forneça os dados de sua conta ou page uma taxa.
Com frequência, eles pedem que você faça uma transferência bancária ou com cartões pré-pagos, para ser impossível rastreá-los.
Onde atuam
Redes Sociais
Além de utilizarem os e-mails, mensagens e ligações para executar, os atacantes utilizam as redes sociais para distribuir os phishings. Uma pesquisa da Kaspersky aponta que 21,89% dos ataques phishing acontecem com foco no Facebook.
Sabe aquelas campanhas imperdíveis, ou uma mensagem para lhe deixar curioso? Uma notificação nova - “alguém te marcou em uma foto, clique aqui para conferir”. Eles utilizarão essas e outras formas para te fisgar nas redes sociais.
Isso é feito através de uma identidade falsa. Eles criam contas enganosas para interagir com você, solicitando seus dados se passando por uma empresa.
Tais contas apresentam apenas alguns caracteres de diferença, que podem passar despercebidos pelos internautas, como @amazonhelp (conta oficial) e @amazon_help (conta falsa).
Como reconhecer um phishing
Identificar um phishing nem sempre será uma tarefa simples, mas com alguns passos, aliados a sensatez, é sim, possível. Primeiro, busque por algo que não seja comum ou estranho.
Pergunte a si mesmo se a mensagem passa pelo "teste de desconfiança''. Confie em sua intuição, mas não se deixe levar pelo medo. Geralmente, os ataques de phishing usam o medo para despistar seu julgamento.
Aqui estão alguns sinais de uma investida phishing:
- O e-mail contém uma oferta boa demais para ser verdade. Ele pode dizer que você ganhou na loteria, um prêmio caro ou outro item surpreendente.
- Você identifica o remetente, mas é alguém com quem você não conversa. Mesmo que o nome do remetente seja familiar, suspeite se for alguém com quem você não conversa com frequência, principalmente se o conteúdo do e-mail estiver relacionado com as responsabilidades comuns de seu trabalho.
- A mensagem parece aterradora. Tome cuidado se o e-mail contiver um tom alarmista ou pesado para criar um senso de urgência, induzindo você a clicar e "agir agora", antes que sua conta seja cancelada. Lembre-se que, organizações sérias não pedem dados pessoais pela internet. Fique atento aos anexos inusitados. Esses anexos podem conter malware, ransomware ou outra ameaça online.
- A mensagem contém links que parecem um pouco apagados. Mesmo que você não note nenhum dos itens acima, não clique nos hiperlinks integrados para o seu bem. Em vez disso, passe o cursor sobre o link para ver a URL verdadeira.
- Tenha especial cuidado ao procurar erros de ortografia em um website que pareça familiar porque isso indica a falsificação. É melhor digitar a URL diretamente do que clicar no link. Observar e seguir esses passos irão te ajudar a identificar os phishings e evitar ser fisgado.
Mas claro, existem outras medidas para se proteger contra essa armadilha. A seguir te mostrarei quais são elas.
Como estar protegido
Como apresentei a você no começo da nossa conversa, o phishing é uma inteligência utilizada no ataque hacker, cujo objetivo é roubar dados e informações confidenciais.
Esse objetivo é bastante nocivo não só ao usuário, mas também às empresas, pois elas armazenam informações sobre seus clientes.
É importante ressaltar a você que, empresas de diversos setores e tamanhos estão na mira dos ataques, e podem tornar-se presas no anzol do phishing, por isso é tão necessário que as pequenas e médias empresas tenham essa consciência e busquem proteger-se.
Pensando nisso, vou apresentar a você uma ferramenta e dicas de como se prevenir e proteger sua empresa contra essa ameaça:
Antivírus
O antivírus é uma ferramenta fundamental na proteção contra phishing, pois, ele é um software que detecta, impede e atua na remoção de programas de software maliciosos, como o phishing.
Existem muitas versões de antivírus que possuem anti-spam, que filtram e bloqueiam os e-mails que chegam para o usuário. Além do anti-spam, algumas versões de antivírus também possuem o anti-phishing, que trabalha detectando e bloqueando websites que se passam por confiáveis para roubar dados financeiros, como senhas e números de cartão de crédito.
O antivírus é uma ferramenta muito importante de proteção, porque o criminoso utiliza técnicas que levam o usuário a tomar atitudes imprudentes que irão possibilitar o ataque. Essas técnicas que enganam o usuário define o que chamamos de engenharia social.
Algumas dicas finais para manter sua empresa segura:
- Não abra e-mails de remetentes com os quais você não está familiarizado.
- Nunca clique em um link que esteja em um e-mail a menos que você conheça muito bem quem o mandou.
- Para melhorar a proteção, se você receber um e-mail, mas não tem certeza se é confiável, acesse o link inserindo manualmente o endereço do website em seu navegador.
Ser fisgado pelo phishing é muito mais comum e fácil do que parece, uma vez que já que maioria das pessoas não conhecem esse risco.
Porém, o phishing não é a única ameaça utilizada pelos hackers para executar ataques, existem muitas outras que você precisa saber para se prevenir e manter sua empresa segura.
