O que é phishing? Tipos de ataque e dicas de prevenção

Phishing é um ataque cibernético que busca persuadir possíveis vítimas a revelar informações confidenciais, como senhas ou números de cartão de crédito. Os criminosos cibernéticos fazem isso fingindo serem alguém que não são e exibindo uma sensação de urgência.

Como o phishing funciona?

O phishing é um método perigoso e efetivo de hacking. O phishing funciona com os criminosos cibernéticos enviando mensagens a pessoas ou empresas contendo um link ou anexo malicioso. O objetivo é fazer com que os alvos cliquem no link, que pode baixar malware ou levá-los a um site ilegítimo para furtar suas informações pessoais. Os ataques de phishing podem ser perpetrados de várias formas, dependendo do atacante e das informações que ele está tentando obter.

No decorrer dos anos, o phishing se tornou muito mais sofisticado. Estima-se que cerca de 32% de todas as violações envolvem phishing e cerca de 64% das organizações informam tentativas de phishing pelo menos uma vez em sua história.

O desafio com o phishing é que ele pode ser difícil de detectar à medida que os métodos se tornam mais sofisticados, especialmente com a introdução da IA. Você pode ter aberto um e-mail de phishing uma vez e nem ter percebido, pois os criminosos cibernéticos usam engenharia social para convencer as vítimas a abrir anexos suspeitos.

Como o phishing funciona?
Técnicas de phishing usadas comumente

Técnicas de phishing usadas comumente

Engenharia social

A engenharia social é um ataque que manipula a vítima a agir rapidamente com informações enganadoras. Um exemplo é usar o medo de que a Receita Federal tem um caso contra a vítima. Esse tipo de golpe de phishing é mais comum durante a época fiscal. A mensagem de phishing contém uma chamada à ação urgente, como "faça algo agora ou a Receita Federal o multará", o que leva a vítima a fornecer ao criminoso cibernético informações confidenciais.

Outros exemplos mais sofisticados incluem coisas como uma mensagem não legítima de um colega ou superior no trabalho, ou uma mensagem contendo informações confirmadas do destinatário. Esses exemplos podem levar ao comprometimento de muitos tipos de informações.

Imitação de link

A imitação de link é frequentemente usada em conjunto com a engenharia social. Usando um golpe do imposto de renda como exemplo, a vítima é manipulada a acreditar que deve dinheiro à Receita Federal. Ela clica no link fornecido. À primeira vista, o link parecerá legítimo, talvez até mesmo contendo o que parece ser o URL correto para o site da Receita Federal. No entanto, depois de clicar, o usuário é redirecionado para um site não legítimo, onde suas informações são solicitadas. Quando a vítima insere as informações, o criminoso cibernético saberá o que é e poderá usá-las para as próprias finalidades maliciosas.

O que acontece quando você clica em um link de phishing?

Um link de phishing pode redirecionar a vítima para um site não legítimo, baixar um anexo malicioso ou instalar um malware no dispositivo ou na rede.

Um ataque de phishing pode interromper toda a rede de uma empresa ao sequestrá-la ou furtar informações. Um ataque pode forçar uma organização a remover seus serviços on-line por um período indefinido, causando perdas significativas de receita e danos adicionais causados pelo malware. Além disso, há multas regulamentares que as empresas podem enfrentar e impactos na reputação da empresa depois de uma violação.

Um ataque de phishing também é perigoso para as pessoas normais, causando perdas financeiras ou resultando em identidades furtadas.

Ataques de phishing por e-mail

Os ataques de phishing por e-mail estão entre os ataques de phishing mais comuns e versáteis, e frequentemente dentre os mais efetivos. Os ataques de phishing por e-mail frequentemente dependem da engenharia social para manipular os usuários a clicar em links maliciosos ou baixar um malware.

Tipos de phishing por e-mail

Spear Phishing

Um ataque de spear-phishing é um ataque de phishing direcionado que aproveita informações pessoais para causar o máximo de dano. O atacante já sabe coisas, como o número de telefone, o endereço e o nome completo da vítima, possivelmente até mesmo o número do Seguro Social dela. Em seguida, aproveita essas informações para tornar anexos ou links de phishing parecerem ainda mais legítimos.

Whale Phishing

Um ataque de whaling é similar a um ataque de spear phishing, exceto que o alvo é uma "baleia" (whale), ou um alvo de perfil alto, em vez de uma pessoa comum ou a rede de uma pequena empresa. O objetivo é obter acesso a dados de alto nível, sistemas internos ou informações confidenciais.

Clone Phishing

Em um ataque de clone phishing, os criminosos cibernéticos clonam e reenviam e-mails legítimos que agora contêm malware ou links maliciosos em uma tentativa de enganar os destinatários a clicar neles.

Ataques de phishing por e-mail
Outros tipos de ataques de phishing

Outros tipos de ataques de phishing

Smishing

Smishing é o mesmo que phishing por e-mail, exceto que é realizado via mensagens de SMS. Uma vítima recebe uma mensagem similar a um e-mail de phishing em uma mensagem de texto, com um link a seguir ou um anexo para baixar.

Vishing

Vishing é um método de phishing mais sofisticado e, algumas vezes, mais efetivo, pois envolve uma pessoa real falando no outro lado da linha telefônica. O objetivo do atacante é obter informações, normalmente informações de cartão de crédito, para obter ganho financeiro. Pessoais mais idosas são mais propensas a cair nesse tipo de ataque.

Angler Phishing (ou Social)

Angler phishing envolve o atacante fingindo ser um representante legítimo de atendimento ao cliente e convencendo as vítimas a entregar informações pessoais.

Malvertising

Malvertising é quando os criminosos cibernéticos pagam anunciantes legítimos para exibir anúncios em seus sites ou páginas de mídia social. Quando um usuário clica no malvertisement, ele é levado a sites maliciosos de onde o malware é baixado para seus dispositivos.

Como se proteger contra ataques de phishing

Use um gerenciador de senhas

Um gerenciador de senhas pode proteger você contra ataques de phishing ajudando a criar, gerenciar e armazenar seguramente suas senhas. Gerenciadores de senhas, como o Keeper Password Manager, fornecem uma advertência integrada sobre sites de phishing. Se suas informações de login salvas não forem exibidas no site acessado, você provavelmente está no site errado. Adicionalmente, o recurso de gerador integrado de senhas ajuda a criar senhas complexas e aleatórias para substituir as que foram comprometidas e limita a possibilidade de sobrecarga de credenciais.

Não clique em links nem anexos não solicitados

Se você receber links e anexos não solicitados via e-mail, mensagem de texto ou outras plataformas de mensagens, não clique neles. Esses links e anexos podem conter malware que conseguirá furtar suas informações confidenciais ou poderá ser usado para espionar você.

Se não tem certeza se um link é seguro, passe o mouse sobre o link para ver o endereço completo do site ou use uma ferramenta como o Google Transparency Report.

Use um varredor de e-mail

Um varredor de e-mail é uma ferramenta que varre os anexos de e-mail em busca de possíveis malwares. Investir em um varredor de e-mail ajudará a proteger você de tentativas de phishing por e-mail.

Como se proteger contra ataques de phishing
Como proteger sua empresa contra ataques de phishing

Como proteger sua empresa contra ataques de phishing

Educação dos funcionários

Eduque os funcionários sobre os perigos do phishing, os vários tipos de phishing e como evitar um ataque. Você também pode executar testes de phishing aleatórios para manter sua equipe em alerta.

Use um gerenciador de senhas comercial

Usar uma solução de gerenciamento de senhas para sua empresa garante que as senhas de sua organização sejam armazenadas seguramente e estejam disponíveis apenas para as pessoas certas. O Keeper Security, por exemplo, fornece recursos de acesso específicos de função e pastas compartilhadas que restringem quem pode ver certas credenciais e registros. Nossos recursos comerciais robustos também incluem auditoria e relatórios sobre senhas, que dão atualizações úteis sobre a higiene de senhas da equipe, e facilitam impor políticas de senhas.

Use software antivírus

O software antivírus detecta, isola e exclui malware que tenha sido baixado para os dispositivos dos funcionários. Ele também pode varrer e-mails, arquivos específicos ou caminhos nos dispositivos em busca de malware e outros vírus. Há muitos programas antivírus gratuitos e de nível empresarial disponíveis on-line.

O Keeper protege você, sua família e sua empresa contra ataques de phishing.

Português (BR) Fale conosco