Phishing: Entenda o que é e como proteger seus dados

Publicado em 21 de janeiro de 2022

Você sabe o que é Phishing e como pode proteger seu negócio e seus clientes contra esses ataques na internet?

Hoje vamos te dar dicas para minimizar esses riscos e aumentar a segurança das informações da sua empresa.

Com o tráfego digital aumentando ano a ano, chegando a cerca de 4,66 bilhões de usuários globais de internet em 2021, e aproximadamente 5,22 bilhões de usuários de smartphones, os cibercriminosos encontraram o ambiente ideal para cometer atos ilícitos, ou cibercrimes.

São considerados cibercrimes todas as práticas maliciosas na internet e/ou que dependem de qualquer ação digital, como responder um SMS, por exemplo.

A lista de ataques na internet que uma pessoa pode estar exposta é bem extensa, e pode abranger:

Vírus prejudiciais ao dispositivo, acesso a senhas bancárias, falsidade ideológica, venda de dados, espionagem de órgãos públicos, extorsão, geralmente em troca da recuperação do banco de dados de um site, entre outros.

Com o crescimento das atividades online ocasionado pela pandemia, muitas empresas brasileiras podem estar vulneráveis aos ataques cibernéticos.

Uma pesquisa divulgada revelou que em 2020 aconteceram mais de 370 milhões de tentativas de invasões a sistemas corporativos no Brasil.

Entender como funcionam algumas dessas práticas pode te trazer uma enorme vantagem: saber como se defender.

Então, veja agora do que se trata um destes crimes cibernéticos, o Phishing.

  1. O que é Phishing?
  2. Como funciona um ataque de Phishing?
  3. Principais tipos de Phishing
  4. Dica B2B Stack: Como prevenir e evitar o Phishing?
  5. Conclusão

O que é Phishing?

Desenho de uma pessoa pescando informações pessoas em um notebook. A pessoa está sentada em cima de um icone de sinal de internet e está toda de preto. A imagem tem o fundo Roxo e representa a prática de phishing que é o roubo de informações de usuário

O termo Phishing não possui uma tradução literal, mas é originário da palavra “fishing”, que significa “pescaria”.

Trata-se de um cibercrime que possui como objetivo “usar uma isca e pescar” usuários descuidados da internet para roubar dados pessoais e/ou bancários, desde CPFs à senhas e números de cartões.

Quem coleta esses dados vai usá-los para fins maliciosos, como fazer transferências bancárias indevidas, compras online, uma nova identidade, vendê-los para outras atividades fraudulentas, ou ainda, para recomeçar o ciclo de ataque.

Segundo o relatório de tendências de atividade Phishing da APWG (Anti-Phishing Working Group), correspondente ao terceiro trimestre de 2021, o número de ataques de phishing dobrou desde o início de 2020, sendo que cerca de 34,9% deles visam instituições financeiras e provedores de pagamento.

Diferente de outros tipos de cibercrimes, o Phishing é considerado um dos menos complexos para se aplicar e um dos mais eficientes.

Isso porque, não depende de montar uma estrutura e usar técnicas avançadas para invadir um servidor, computador ou qualquer outro dispositivo para conseguir os dados que se deseja.

Pelo contrário! No Phishing, quem facilita a coleta desses dados são os próprios usuários da internet.

Como funciona um ataque de Phishing?

Geralmente, os ataques Phishing ocorrem por e-mail, mas também há casos em que acontecem por outros canais de comunicação, como por SMS, redes sociais, mensageiros instantâneos, anúncios e até por chamadas de voz.

Os cibercriminosos criam e enviam mensagens em massa, ou até personalizadas, com um domínio ou conteúdo conhecido ou familiar para o usuário, esperando que alguns dos remetentes abram.

A partir daí, podem ser usadas diversas estratégias:

  • Estimular o usuário a clicar em um link que o levará à um site ou aplicativo suspeito, neste caso, o site pode conter uma área onde solicita dados e/ou senhas do usuário;
  • Fazer com que o usuário faça o download de um arquivo em anexo, ou o execute, dando permissão para que os fraudadores acessem seu aparelho;
  • Solicitar um pagamento online para resolver um problema urgente ou regularizar uma dívida;
  • Pedir dados confidenciais para prosseguir com alguma solicitação;
  • Instalar um malware, ou software malicioso, que pode coletar dados ou bloquear funções do dispositivo utilizado, estimulando o usuário a receber o contato de um “técnico” mal intencionado;

E, há oportunidades em que os criminosos podem até estabelecer relações com o usuário pelas redes para ganhar sua confiança, fingindo ser realmente um vendedor ou atendente, e depois que conseguem os dados desejados desaparecem.

Por isso, a maneira que irá acontecer a fraude pode variar, uma vez que o ataque Phishing é planejado conforme os objetivos do cibercriminoso.

Mas, o que geralmente persiste é que todas as provas do ataque são destruídas depois de conseguirem os dados, como as contas de e-mail ou redes sociais criadas para disparar as iscas (mensagens), ou o chip de telefone utilizado para fazer ligações.

Principais tipos de Phishing

Acompanhe agora como funcionam os principais tipos de Phishing conhecidos hoje: Spear Phishing, Clone Phishing, Whaling e Vishing.

A característica comum entre eles é que todos ocorrem por comunicações eletrônicas.

Ao contrário do que muitos pensam, não só o público mais idoso ou as crianças que estão vulneráveis a este ataque.

O Phishing também pode atingir pessoas de alto escalão das empresas ou servidores de órgãos governamentais, bem como usuários mais experientes da internet.

Spear Phishing

Desenho de um peixe sendo fisgado em frente a um laptop. Ao seu lado direito a uma lupa simbolizando a busca por informações a dentro do peixe a dois campos com login e senha. a imagem representa a prática de roubo de informações chamada de Spear Phishing

O Spear Phishing é um tipo de Phishing não generalista, ou seja, tem um alvo específico, que pode ser uma pessoa ou empresa.

Em vez de enviar e-mails e mensagens em massa, esperando o retorno de algumas pessoas, no Spear Phishing os cibercriminosos estudam informações da vítima coletadas na internet, como nome, cargo e pessoas próximas, para criar textos personalizados.

Assim, fazem a vítima pensar que a mensagem parte de um conhecido ou de alguém do trabalho para solicitar um pagamento ou dados confidenciais.

Clone Phishing

Desenho de um laptop com uma informação ao centro da tela dentro de uma tarja vermelha. A informação fala sobre 'clone phishing' que é uma pratica de clonar dados

No Clone Phishing a ideia do fraudador é clonar um e-mail original recebido pela vítima, substituindo os links ou arquivos anexos originais por outros maliciosos.

Ao clicar nestes links que parecem confiáveis, uma vez que partem de um e-mail já conhecido, os dados da vítima podem ser coletados, servindo até mesmo como base para o envio de outros e-mails, para outras vítimas conhecidas da primeira.

Whaling

Desenho de um marinheiro com uma lupa olhando uma baleia. A sua frente á uma vara de pesca e nela a um carta com um @ ao centro representando o roubo de informações via email

O ataque Whaling, também conhecido como fraude do CEO, é uma prática de Phishing, que usa e-mails e sites falsos para enganar diretores, empresários, gerentes e outras pessoas de alto escalão, por isso a derivação do nome de “whales” (baleias), que neste contexto significaria “pescar peixes grandes”.

O fraudador usa esse método para ter acesso e roubar dados confidenciais e de sistemas corporativos de alto valor, bem como para usá-los em ações fraudulentas.

Neste caso, o criminoso finge ser alguém importante de uma empresa ou de mesmo nível hierárquico da pessoa que se deseja atingir, e geralmente tem uma abordagem mais personalizada devido à facilidade na obtenção de informações do negócio, como descrições e postagens publicadas em redes sociais ou outros canais.

A vítima, então, pode achar que os e-mails ou mensagens recebidas vêm de dentro da própria empresa onde trabalha e acabar passando dados bancários ou pessoais, conforme solicitado, ou pensar que pode ser um possível parceiro de negócio.

Vishing

Desenho de uma pessoa com uma máscara de ladrão cobrindo os olhos um celular na mão direita e na mão esquerda uma máscara de uma senhora idosa. A imagem representa a pratica de phishing vishing

O Vishing é um tipo de golpe aplicado por telefone, e geralmente está vinculado ao Phishing enviado primeiramente.

Isto é, geralmente, quando o usuário clicar em um link, arquivo ou botão malicioso de um e-mail ou mensagem, o Vishing passa a ser a segunda parte do golpe.

Se o usuário receber um e-mail, por exemplo, e for do seu interesse como a quitação de uma dívida, ao demonstrar que está interessado em receber uma proposta, este usuário vai receber uma ligação do fraudador, que fará o possível para que ele entregue seus dados de livre e espontânea vontade para fechar um acordo.

É claro que o acordo não existe e o atendente vai se aproveitar dos seus dados para o que bem entender.

Por isso, fique atento às promessas milagrosas ou falsos especialistas que pedem seus dados em troca de prestar um atendimento.

Phishing E-mail

Este é o método de Phishing mais “tradicional”, na qual os fraudadores disparam e-mails em massa e de forma aleatória, contando com a sorte de alguém cair no golpe.

E acredite, há pessoas inocentes que acabam caindo.

Às vezes, o conteúdo da mensagem do e-mail realmente remete a uma empresa ou marca conhecida da vítima.

E ainda, às vezes, os cibercriminosos acabam utilizando uma estratégia que mascara os links fraudulentos utilizando links originais de um site, que ao clicar, direcionam para o ambiente do golpe.

Dica B2B Stack: Como prevenir e evitar o Phishing?

Embora seja mais difícil de controlar o Phishing, porque ele é um ataque que depende exclusivamente da ação do próprio usuário, e não de uma vulnerabilidade sistêmica, algumas boas práticas podem ser adotadas para minimizar os riscos de cair neste golpe.

Após muitas buscas na internet para entender como prevenir estes ataques, chegamos a conclusão de que a estratégia é unânime: desconfiar de tudo e todos.

Brincadeiras à parte, ser desconfiado e ter cautela ao analisar qualquer e-mail, link ou arquivo que recebeu, assim como desconfiar de ligações em que o atendente está muito interessado, apressado em fechar negócio ou prometendo mundos e fundos, já é um bom começo.

Nas empresas, criar um setor antifraude é fundamental, mesmo que seja formado por uma equipe pequena.

Isso porque este setor poderá focar todo o tempo em monitorar essas ameaças, alertar sobre alguma mensagem suspeita e atuar de forma preditiva sobre um eventual ataque, ou para repará-lo rapidamente caso chegue a acontecer.

Além disso, as empresas também devem se preocupar com os golpes aplicados nos seus clientes.

Como o modus operandi nos ataques Phishing é, geralmente, usar as características de marcas conhecidas dos consumidores, é essencial que você deixe bem claro aos seus leads e clientes quais são seus canais de comunicação oficiais.

Se for preciso, crie conteúdos de boas-vindas explicando como sua empresa vai se comunicar com eles ao longo do seu relacionamento, e dando orientações para que ele tome as iniciativas corretas ao identificar uma possibilidade de fraude.

Os antivírus e antispam, assim como outros softwares de segurança de TI podem dar um apoio na identificação de possíveis e-mails, mensagens ou sites fraudulentos. Mas, é essencial que você os mantenha sempre atualizados para evitar falhas nas verificações.

Mais ações para evitar Phishings

Muitas vezes, um link malicioso pode estar mascarado, dando a impressão de que é realmente verdadeiro, e muitas dessas vezes, também não nos atentamos a uma URL antes de abrí-la.

Então, mais uma medida de prevenção para evitar Phishings é passar o mouse em cima de um link para ver se a URL realmente corresponde a um ambiente virtual conhecido.

Evite os sites que são marcados pelo seu navegador como não seguros, ou que são abertos com “HTTP” em vez de “HTTPS”, que significa seguro.

Crie senhas fortes para dificultar a vida de quem quer acessá-las, e usar um gerenciador de senhas também é útil para manter suas senhas salvas e seguras, além de centralizadas em um único ambiente, e não espalhadas por vários navegadores

Por fim, fique atento a todos os mínimos detalhes da mensagem recebida, como erros evidentes de português (lembrando que erros de digitação podem acontecer) ou acordos tentadores, e escute a sua percepção quando algo parecer errado.

Conclusão

Com o advento da internet muitas coisas mudaram na vida das pessoas: o modo de fazer compras, que agora requer uma comparação de preços aprofundada na internet, a interação com amigos, entre clientes e empresas e até a forma de ensinar e aprender qualquer assunto.

Em contrapartida, a internet é uma rede que abriga muitas pessoas com más intenções, que se aproveitam de qualquer vulnerabilidade para aplicar golpes.

Um deles é o Phishing, conhecido por ser aplicado em vários canais de comunicação, como e-mail, WhatsApp, SMS, redes sociais e telefone, com o objetivo de coletar os mais diversos dados pessoais, bancários e corporativos de pessoas físicas e empresas.

Para evitar cair neste golpe, os usuários da internet precisam ficar ligados aos mínimos detalhes sobre as comunicações que recebem de empresas, amigos e até colegas de trabalho.

Além disso, usar softwares que vasculham esses canais em busca de qualquer indício de fraude também é fundamental, uma vez que eles também servem para dar mais apoio à segurança das suas informações.

Agora que você sabe o que é Phishing, não deixe de navegar pelo B2B Stack, maior portal de busca e avaliação de softwares da América Latina, para conhecer milhares de soluções que garantem a segurança e otimização de todos os seus processos corporativos!

Publicado por Marcia Lira

Bióloga, apaixonada pela natureza e recém inserida no mundo da tecnologia, acredito no poder gigantesco das ferramentas tecnológicas para melhorar a qualidade de vida das pessoas e do meio ambiente. Nada precisa ser massante e árduo para funcionar, mas sim, inteligente, inovador e prático.

Artigos relacionados