Phishing: saiba o que é e proteja sua empresa de ataques digitais
Atualmente, qualquer empresa minimamente conectada à internet pode correr risco de sofrer um ataque online. Basta uma conta de e-mail. Isso porque essas invasões geralmente passam despercebidas, em função de começarem de forma discreta, com um e-mail confiável e com design bonito que pede para o receptor clicar em um link atraente ou confirmar um cadastro em um outro botão.
Esta é só uma das formas mais comuns de phishing.
Phishing: um crime que gera prejuízos
Phishing é a tática que criminosos usam para roubar dados que dão acesso à números de cartões de crédito, contas bancárias com suas respectivas senhas e outros dados pessoais e sensíveis. Com estas informações em mãos, criminosos podem fazer diversas transações fraudulentas como compras ou operações bancárias indevidas.
De acordo com a consultoria internacional Accenture, nos próximos cinco anos, cibercrimes como phishing vão custar mais de cinco trilhões de dólares às empresas. O phishing, portanto, vai muito além de um clique errado. Está na origem de 91% de todos os ataques cibernéticos.
Já o Relatório do Custo de um Vazamento de Dados 2018, da IBM, afirma que o custo para reparar um vazamento de dados em uma empresa no Brasil pode chegar à média de US$ 1,24 milhão. Este número inclui gastos com atividades relacionadas à detecção, reporte, respostas e notificação do incidente, além das despesas com perdas do negócio com o vazamento de dados.
Phishing: um jeito ilegal de pescar
A palavra phishing faz referência à palavra fishing, que em inglês significa pescaria. Porém, o phishing com ph serve bem como a metáfora da prática que parece algo, mas não é. Na prática, a pescaria cibernética lança várias ‘iscas’ no oceano de dados da internet e aguarda que alguém as fisgue.
Seguindo a metáfora da pesca, estas iscas de phishing chegam por e-mail, SMS, telefone e até por redes sociais. Quem as envia, faz com pareçam mensagens reais de bancos, promoções de viagens, correios, falsos sites ou falsos pop-ups.
A intenção dos criminosos é enganar para coletar dados sigilosos que podem ser usados contra a pessoa que os forneceu depois. Entre os crimes praticados a partir da coleta destes dados estão violações de contas bancárias e cartão de créditos, crimes de falsa identidade ou uso em transações financeiras indevidas. E no caso das empresas, ainda há risco de vazamentos de dados de inteligência de mercado, pesquisa e desenvolvimento, por exemplo.
Os múltiplos tipos de phishing
Assim como a tecnologia e os sistemas evoluem, os criminosos elaboram métodos de phishing cada vez mais sofisticados. Entre os tipos mais comuns de phishing estão:
1. Scam
Nesse tipo de golpe os criminosos tentam induzir o usuário a fornecer informações pessoais, através da abertura de links ou arquivos contaminados. Uma vez transmitidas, esses dados serão usados para acessar a conta bancária, roubar dinheiro e realizar transações. O contato pode ser feito via telefone, e-mail, mensagem de texto ou pelas redes sociais.
2. Blind Phishing
Este é o phishing em que o responsável por enviar as mensagens não estudou o alvo, só enviou o e-mail genérico e chamativo, com algum tom de ameaça, esperando que alguém morda a isca.
3. Spear phishing
Aqui o objetivo é acessar bancos de dados do governo ou de empresas para conseguir informações sigilosas, arquivos confidenciais ou financeiros.
4. Clone phishing
Phishers são mestres na arte de copiar. Neste tipo de golpe, os criminosos clonam um website original, inserindo um formulário de informações cadastrais que devem ser preenchidas pelo internauta antes do acesso. Assim que o usuário completa os dados requisitados, é redirecionado para o site de verdade, sem nem perceber que foi vítima de um golpe.
5. Whaling
A ideia aqui também é extrair informações sensíveis de grandes organizações. A diferença é que este tipo de phishing tem como alvo alto executivos de bancos, multinacionais e grandes empresas. Por mirar em pessoas de alto escalão, ou seja, em peixes grandes é chamado de whaling (pesca de baleias). Para fazer CEOs e executivos caírem nesse golpe, criminosos usam iscas como intimações judiciais, notificações de bancos ou até circulares que seguem o padrão de comunicação interna.
6. Vishing
Fraude que usa mensagens de voz, por isso o V no lugar do PH. São mensagens de voz ou SMS que por exemplo, podem dizer que o cartão de crédito foi bloqueado e que é preciso ligar para determinado número informando dados para o desbloqueio.
7. Pharming
É o phishing que corrompe o DNS (que funciona como o caderninho de telefones da internet, traduzindo números de IPs em nomes de domínio). Como o DNS foi envenenado, os usuários são direcionados para uma página falsa criada para o ataque, que induz o internauta a fornecer dados pessoais.
8. Smishing
Phishing por SMS. Geralmente coagem quem recebe a fornecer dados através de mensagens que ameaçam sobre dívidas ou o incentivam a decidir algo imediatamente oferecendo prêmios.
Como identificar uma tentativa de phishing
É um pouco assustador pensar que existem tantas táticas de phishing. Porém, prestar atenção em alguns detalhes pode ser a chave para não cair em golpes e garantir a segurança digital. Entenda as falhas que podem ajudar a identificar golpes:
- Não confie no nome do remetente: Cibercriminosos usam nomes falsos ou que se parecem com o de instituições ou empresas de verdade. Preste atenção na ortografia, em letras que podem estar trocadas ou até em sufixos que podem ser diferentes do “.com.br”.
- Não clique de cara: Se o link não parecer confiável, experimente digitar o URL no navegador antes de clicar.
- Português ruim é sinal de cilada: E-mail marketing de verdade passa por revisão de texto, afinal, é uma estratégia de comunicação da marca. Erros de ortografia ou gramática indicam falta de curadoria e golpe!
- Analise o cumprimento inicial: Empresas sérias que têm seus dados não fazem uma saudação genérica como ‘prezado cliente’.
- Nunca, jamais, forneça informações pessoais: Bancos, operadoras de cartões, empresas em geral não pedem atualização de cadastro por e-mail. Eles têm seus próprios aplicativos para fazer este tipo de notificação ou outras formas mais abertas de entrar em contato.
- Fuja de pressa ou euforia: Mensagens que gritam coisas do tipo ‘urgente!’, ‘faça isso agora ou algo ruim vai acontecer’ ou ainda ‘você foi premiado’ geralmente são armadilhas.
- Layout bonito demais: Desconfie de layouts bonitos. Não é porque um e-mail estranho chegou até você com elementos gráficos bem feitos que a fonte é confiável.
- Assinatura e contato: Empresas de verdade deixam uma assinatura, um e-mail e telefone para o caso de você querer retornar o contato. Se estas informações estiverem faltando, pode ser um indicativo de que algo está errado.
- Anexos: Se você não tem certeza de quem ou qual empresa te encaminhou o e-mail, não abra os anexos. Pode ser phishing.
Proteja sua empresa com medidas simples
Para evitar que sua empresa ou você sofra prejuízos por conta de phishing, tome medidas preventivas. A conscientização e sensibilização dos seus colaboradores é de grande importância para a saúde da segurança do seu ambiente organizacional. Por mais que se tenham boas soluções em tecnologia e processos estruturados, se o elo mais fraco, que são as pessoas, não estivem envolvidos e sensibilizados, estes dois primeiros recursos, perdem sua eficácia.
Confira algumas medidas para incluir no checklist do que fazer para evitar golpes e vazamentos de informações estratégicas:
- Oriente: Eduque colaboradores, para que desconfiem e identifiquem sinais de e-mails e outros tipos de comunicação que podem expor o negócio a riscos de vazamentos de informações sensíveis ou invasões.
- Antivírus: É básico, mas muitas empresas não têm ou não mantém um antivírus atualizado para se protegerem de ataques de phishing.
- Firewall: Um software firewall controla a procedência do tráfego em websites.
- Plug-ins anti phishing: Essa ferramenta verifica se há registro ou indícios deste site em listas negras.
- Dupla verificação: A famosa ‘Two Steps Verification’ usa duas formas de autenticação para usuários de uma rede, uma depois da outra, para assegurar que a pessoa fazendo o acesso é realmente autorizada.
- Teste: Submeta suas redes a testes de penetração, o famoso pentest. Investir em testes é determinante para que sua empresa saiba a quais riscos está mais exposta e que medidas precisa tomar para corrigir falhas e se proteger de cyber ataques.
- Planejamento: Tenha um plano de contenção de danos e, caso necessário, acione a polícia. Desde 2012 a legislação brasileira possui mecanismos para punir quem pratica delitos online como phishing.
Acompanhe as novidades do blog da IBLISS e saiba mais sobre como aumentar a maturidade da segurança da informação para o seu ambiente organizacional.