O que é phishing?
Definição de phishing
Phishing é um tipo de crime digital em que os infratores roubam valores monetários, obtêm vantagens ilícitas ou manipulam dados para obter acesso a informações por uma solicitação feita por e-mail ou outro meio de comunicação. Estima-se que essa prática seja a causa de dois terços das violações de segurança ocorridas em um ano, classificando-se, portanto, como um problema grave. Recebemos e-mails de phishing todos os dias, seja em nossas caixas de entrada pessoais ou nas de trabalho, independentemente de trabalharmos em empresas de pequeno ou grande porte.
Métodos mais usados em ataques de phishing
Agentes mal-intencionados costumam enviar e-mails ou mensagens feitas para enganar incautos e fazer com que compartilhem dados financeiros ou pessoais. A vítima é levada a acreditar que a mensagem foi enviada por uma fonte de confiança, por uma autoridade ou por alguém em perigo, ou pode simplesmente responder por curiosidade.
Normalmente, as tentativas de phishing se aproveitam da ingenuidade, da impulsividade ou do desconhecimento da vítima em relação a esses ataques. Os agentes também se valem da falta de atenção a detalhes por parte de seus alvos.
Exemplos de golpes de phishing
Diversos incidentes graves de cibersegurança começaram com ataques de phishing.
- Em 2009, o FBI conduziu a operação Phish Phry, que levou ao indiciamento de 100 pessoas por crimes digitais. O FBI foi acionado após clientes receberem e-mails que pareciam ter sido enviados por suas instituições financeiras. Após receberem esses e-mails, eles informaram o número de suas contas e senhas em um site fraudulento, causando enormes prejuízos tanto para os clientes quanto para as instituições financeiras.
- Em 2013, o golpe Target/FMS foi um ataque de phishing que deu aos hackers acesso a 40 milhões de números de cartões de crédito de clientes da Target, comprometendo 70 milhões de registros de clientes. O e-mail de phishing que permitiu aos criminosos implantar o malware nas máquinas de PDV foi enviado para colaboradores de uma empresa de sistemas de refrigeração e aquecimento contratada pela Target. Provavelmente, um desses colaboradores tinha acesso aos servidores da Target e, sem desconfiar de nada, baixou o malware contido no e-mail de phishing.
- Em 2016, a FACC, uma empresa austríaca que fabrica peças aeroespaciais para gigantes como Boeing e Airbus, foi vítima de um ataque de phishing em que os hackers se passaram pelo CEO da empresa, um canadense chamado Walter Stephen. No golpe, um colaborador foi instruído pelo pretenso Stephen a fazer uma transferência de US$ 61 milhões para uma conta bancária na China. Quando o caso foi descoberto, as consequências foram graves: a empresa demitiu o CEO e o CFO e foi processada por não implementar controles de segurança de forma correta e ter sido omissa na supervisão das operações.
Tipos de ataques de phishing
Visão geral dos diferentes tipos de ataques de phishing
Há diversos tipos e estilos de ataques de phishing, que também podem ocorrer por SMS, mensagens em redes sociais e chamadas telefônicas, mas assumindo nomes diferentes. A maioria dos golpes de phishing tem o objetivo de fazer o maior número de vítimas possível e, em geral, tem baixa taxa de sucesso. Contudo, alguns ataques são mais técnicos e podem ser a causa de grandes problemas para pessoas específicas e organizações. Exemplos desses tipos de ataques incluem spear phishing, phishing de clones e whaling, sendo o phishing por e-mail o mais comum.
Spear phishing e suas características
Os ataques de spear phishing miram pessoas específicas. Esse tipo de ataque começa pelo acesso ao e-mail interno de uma organização, conquistado muitas vezes por uma tentativa de phishing comum ou por vulnerabilidades do sistema. Os criminosos pesquisam e escolhem um alvo, planejam o ataque e se passam por alguém da organização. A partir daí, alguns colaboradores escolhidos a dedo recebem e-mails bastante convincentes de um colega de trabalho ou de alguém em cargo mais elevado com instruções que estimulam ações impulsivas, a fim de fazer o destinatário realizar uma determinada tarefa. Esses e-mails geralmente contêm discrepâncias sutis que passam despercebidas devido à reação emotiva ou curiosidade da vítima. É fundamental confirmar de forma independente eventuais solicitações incomuns que pareçam descabidas.
O que é phishing de clone e como funciona esse golpe?
O phishing de clone usa técnicas comuns de phishing para ter acesso a e-mails originais com anexos, criando cópias de e-mails legítimos de uma organização. Com isso, um criminoso consegue enviar anexos parecidos com o original, mas que contêm malwares usados para roubar informações confidenciais. Esses e-mails reaproveitados costumam ser enviados como anexos “atualizados” urgentes e usam esse urgência para provocar uma reação da vítima. Diferentemente do spear phishing, que tem como foco uma pessoa específica ou organização, o phishing de clone normalmente duplica e-mails e engana as vítimas de maneira bastante crível.
Saiba reconhecer ataques de phishing
Características comuns de e-mails de phishing
E-mails de phishing têm características comuns, como erros gramaticais, endereços de e-mail ou hiperlinks estranhos, downloads suspeitos ou remetentes desconhecidos. As empresas costumam exigir treinamentos específicos de cibersegurança para ajudar os colaboradores a reconhecer e-mails de phishing.
Saiba identificar conteúdos suspeitos
Se um e-mail solicitar informações confidenciais de forma direta, utilize apenas canais aprovados para compartilhá-las, e só faça isso se for recomendável e realmente seguro. Confirme eventuais solicitações incomuns e, se algum e-mail direcionar você a um site, confira o URL na barra de endereços para garantir que ele está correto antes de inserir qualquer dado pessoal. E-mails de pessoas ou organizações conhecidas que apresentarem características incomuns, como conteúdos estranhos ou diferenças na forma de escrever e no tom, devem ser tratados como suspeitos. Essa lógica também vale para e-mails com apelos urgentes, mensagens emotivas ou ameaças. Comunicações imprevistas ou não solicitadas também devem ser consideradas imediatamente suspeitas.
Dicas para não cair em golpes de phishing
Precauções simples podem impedir que você caia em um golpe de phishing.
- Informe-se sobre como os golpes de phishing acontecem.
- Faça um curso ou consulte a equipe de cibersegurança ou TI do seu trabalho.
- Informe-se lendo notícias sobre cibersegurança ou golpes famosos de phishing. Esse hábito pode ensinar a você muitas formas de identificar ataques.
- Obedeça a princípios de segurança e cumpra protocolos e controles de segurança organizacional.
Preste muita atenção a e-mails, mensagens, posts em redes sociais e chamadas de voz para ter certeza sobre a origem dessas comunicações, se é seguro responder a eventuais solicitações e se há outros indícios que podem ajudar na identificação de tentativas de golpes.
Sempre confira suas comunicações. Você iniciou o assunto ou foi a outra pessoa? Qual é o objetivo da comunicação? Preste atenção a pontos estranhos, à frequência incomum das mensagens, se há um apelo emocional ou de urgência, ou se há erros gramaticais e links ou instruções que levantam suspeitas. Qualquer uma dessas características pode ser um indício de um ataque de phishing.
O uso de um gerenciador de senhas como o LastPass é outra medida simples para evitar que hackers tenham acesso às suas comunicações por e-mail e impedir o preenchimento de formulários fraudulentos.
Proteja-se contra golpes de phishing
Práticas recomendadas para evitar ataques de phishing
Algumas boas práticas ajudam a evitar ataques de phishing. O primeiro passo é ter calma. Leia o e-mail com atenção e, antes de responder, verifique se o endereço da mensagem condiz com o remetente. Além disso, procure indícios de atividades suspeitas.
Use senhas seguras e exclusivas
O uso da autenticação multifator (MFA) e de senhas fortes protegem seus dados e impedem que suas contas sejam invadidas. Quem altera senhas regularmente ou usa um gerenciador de senhas, com certeza, dificulta a vida dos hackers.
O papel de gerenciadores de senhas como o LastPass na proteção contra golpes de phishing
Gerenciadores de senhas como o LastPass previnem a fadiga das senhas nos usuários finais e dão mais precisão e segurança às comunicações em geral. O LastPass detecta sites falsos e impede que dados pessoais sejam preenchidos neles.
Saiba como denunciar e reagir a ataques de phishing
Saiba o que fazer ao receber um e-mail de phishing
Caso você receba um e-mail de phishing, reaja com extrema cautela.
Não clique em nenhum link nem baixe nenhum anexo. Antes de qualquer coisa, confirme a mensagem com o remetente por outro meio de comunicação e siga o processo de denúncia estipulado pela sua empresa.
Denuncie golpes de phishing
A denúncia de tentativas de phishing ajuda a evitar golpes e identificar golpistas. Siga os procedimentos de denúncia da sua organização ou consulte as equipes de TI e cibersegurança. Também é possível denunciar tentativas de phishing a órgãos públicos no Brasil, como a Polícia Federal (escreva para crime.internet@dpf.gov.br para tratar de mensagens referentes aos crimes de internet) ou a Rede Nacional de Ensino e Pesquisa (RNP) (escreva para phishing@cais.rnp.br para encaminhar denúncias de mensagens fraudulentas com envio de uma cópia do e-mail original).
O que fazer caso você desconfie que caiu em um golpe
Caso desconfie que caiu em um golpe, desconecte imediatamente seu dispositivo da internet, faça uma verificação com seu antivírus e monitore e-mails e contas online em busca de transações suspeitas. Caso o incidente tenha acontecido em uma rede ou dispositivo do trabalho, relate-o à empresa e siga os procedimentos padrão de segurança.
Phishing é uma ameaça grave, que deve ser combatida com vigilância e informação. Para que a proteção seja eficaz, usuários e empresas devem entender como funcionam os ataques mais comuns, saber reconhecer e-mails suspeitos e seguir práticas recomendadas.
Um dos passos mais fáceis é usar um gerenciador de senhas. Inicie sua avaliação do LastPass hoje mesmo para intensificar a segurança da sua organização contra os ataques de phishing.