Ainda que você não conheça o termo phishing, certamente já ouviu falar sobre os roubos silenciosos de dados que acontecem o tempo todo na internet por meio desta técnica. Trata-se de um dos golpes mais comuns e perigosos da era digital, caracterizado em tentativas de adquirir senhas e dados bancários, por exemplo, para usá-los de maneira fraudulenta.
De acordo com um levantamento feito pela empresa russa Kaspersky, em 2021, 15,4% dos cibernéticos brasileiros tentaram abrir links que, na verdade, eram iscas para roubar suas informações. Nesse sentido, o Brasil é o país que mais sofre com casos de phishing na América Latina. Em seguida, vem Equador (13,4%), Panamá(13,4%), Chile (12%) e Colômbia (11%).
A falta de preparo e de conhecimento sobre a técnica permite que tanto pessoas quanto grandes empresas sejam fisgadas pelos criminosos. Por isso, é de suma importância entender minuciosamente o que é phishing. Assim como as formas de identificá-lo e as principais medidas que sua empresa pode tomar para se proteger dessa ameaça.
Phishing: o mesmo perigo da realidade está presente no mundo virtual
Imagine-se na seguinte situação: você está caminhando em uma praça com sua família. Aproveitando um tempo de qualidade com quem você ama. Quando de repente, alguém te oferece uma “proposta incrível”. A princípio, aquilo parece ser bom demais para ser verdade. Ainda assim, você pergunta: “interessante, como funciona?”.
Então, quem te abordou começa explicar detalhe por detalhe da sua oferta. Ele vai ganhando sua confiança de forma progressiva e, em poucos minutos, convence você a aceitar a proposta.
Assim, você fornece dados ou realiza algum tipo de pagamento para concretizar o “acordo”. No entanto, o que parecia ser uma boa oportunidade, logo se torna um pesadelo no momento em que você percebe que caiu num golpe.
O desespero toma conta e toda a alegria do início do dia em família vai embora com o ocorrido. E, o arrependimento de ter confiado em tal pessoa ainda perdura por mais alguns dias.
O ponto é: todos estão vulneráveis a serem enganados, porque não esperam que algo assim aconteça. Mas precisam estar preparados para as possíveis armadilhas da atualidade.
Com o advento da internet, as ameaças se multiplicaram nesse sentido. Os golpes estão por toda parte e a web representa as novas ruas em que, infelizmente, podemos ser roubados, assim como na vida real.
O que é phishing?
Phishing é uma palavra originada do inglês (fishing) e significa “pescando”, em uma tradução simples. O nome empregado na técnica está atrelado ao principal objetivo dos cibercriminosos: pescar dados importantes com uma isca nos ambientes online.
Desde 1996, este termo é associado às práticas de roubo de informações feitas na internet. Conforme os avanços tecnológicos aconteceram, o phishing tornou-se robusto, oferecendo muito mais periculosidade às vítimas do que antigamente.
Como acontecem os golpes de phishing?
Os golpes de phishing são aplicados por meio de alguns canais de comunicação. Entre os principais que os cibercriminosos se apropriam para fazê-lo estão:
Certamente, o e-mail é o método mais comum de aplicação do phishing. Se passando por uma pessoa ou empresa de autoridade, o fraudador envia uma mensagem às possíveis vítimas com links ou anexos maliciosos. Assim, clicando em alguma das iscas, os phishers adquirirem os dados que desejam..
SMS
Da mesma forma do que com o email, o SMS é outra forma que os golpistas possuem de utilizar a técnica de phishing. Eles enviam o texto de SMS, solicitando que você clique no link de acesso para um site ou de download para um aplicativo.
Mas ao fazê-lo, um malware será instalado no dispositivo, o qual roubará suas informações, enviando-as para o invasor.
Redes sociais
Nas redes sociais, os phishers criam perfis falsos. Assim, mensagens tendenciosas são enviadas para várias pessoas ou empresas. Caso os invasores se apropriem das contas que caíram na armadilha, eles ainda podem enviar links maliciosos para os contatos do proprietário, multiplicando os danos causados pelo phishing.
Além disso, os golpistas podem criar sites falsificados, com cópias de sites reais e confiáveis. Quando o usuário coloca seus dados para fazer o login, por exemplo, o roubo acontece.
É claro que, a maioria deles são detectados e sofrem bloqueios, no entanto, essa não é a questão. Pois, até que o site fique fora do ar, os cibercriminosos têm tempo o bastante para executar ataques deste tipo, roubando seus dados silenciosamente.
Estratégias mais usadas pelos phishers
Os phishers também usam estratégias diferentes para aplicar a técnica, uma vez que a abordagem muda conforme o alvo do ataque. Veja algumas delas:
Phishing enganoso
Embora toda ação de phishing seja enganosa em sua essência, uma das estratégias carrega justamente essa nomenclatura. Phishing enganoso refere-se à circunstância em que os crackers se disfarçam de empresas ou indivíduos. O objetivo é ganhar a confiança do alvo e fazê-lo morder a isca.
Spear phishing
Essa estratégia é usada pelos phishers para fisgar peixes maiores. Isto é, pessoas ou empresas com uma relevância considerável. Os cibercriminosos estudam o alvo e sintetizam os aprendizados num ataque mais preciso. Dessa forma, eles reduzem as chances de desconfiança e podem enganar até mesmo alguém que é mais qualificado.
Fraude CEO
Como o próprio nome indica, a fraude CEO é a estratégia em que os phishers usam a técnica para se passarem pelo executivo. Normalmente, eles obtiveram os dados do CEO de um negócio quando preferem esse tipo de ataque. Então, fingem ocupar o cargo com o intuito de extrair dados importantes dos colaboradores.
Entenda como você pode reconhecer e proteger a sua empresa do roubo silencioso de dados
Apesar de não existirem meios de deter o phishing definitivamente, é possível reconhecê-lo e combatê-lo com práticas específicas. Os ataques mais comuns nas empresas são os de spear phishing, explicado nos tópicos anteriores. Ou seja, os phishers que vão tentar atacá-la serão de alto nível.
Dessa forma, é imprescindível entender os sinais que evidenciam o uso da técnica por trás de mensagens aparentemente inofensivas, como:
Grafia
Não se prenda somente no layout ou em outros pontos que constituem a roupagem do texto, pois esses aspectos podem ser replicados facilmente. Foque na maneira como o texto foi escrito, na grafia. É bem provável que você perceba neste ponto que essa mensagem não veio de alguém confiável.
Mensagem sensacionalista
As mensagens com phishing tendem a ser sensacionalistas, com promoções e ofertas imperdíveis. A ideia é fazer você clicar no link rapidamente, sem pensar muito. Por isso, tenha cuidado com essas mensagens com promessas exageradas.
Remetente
É interessante verificar o E-mail do remetente, bem como a data e hora do envio da mensagem, por exemplo. Desconfie até mesmo de amigos ou parceiros de negócio. Eles podem ter sido enganados e você pode ser a próxima vítima. Tudo isso vai ajudá-lo a não morder a isca dos phishers.
Além disso, outros cuidados são válidos para se proteger do phishing. Eles vão de ações mais simples, até a procura de um auxílio especializado.
Conscientize a equipe sobre os perigos do phishing
Nem todos os colaboradores de uma equipe se informam a respeito das ameaças virtuais, principalmente se o assunto não estiver presente na sua rotina. Por isso, vale a pena produzir materiais educativos com a finalidade de ampliar o nível de consciência de todos.
Preserve uma comunicação interna clara na empresa
É de suma importância definir processos de comunicação claros entre líderes e colaboradores. Ataques de fraude CEO, por exemplo, podem ser neutralizados com essa medida.
Se na comunicação interna estiver claro que o CEO nunca irá pedir algum dado relevante por E-mail, as chances de algum colaborador cair neste golpe serão baixas.
Previna-se do roubo silencioso de dados
Também é possível preparar-se para uma eventual queda da sua empresa em alguma das armadilhas do phishing. Contratar especialistas que saibam criar um plano de recuperação de desastres em TI eficiente, faz toda a diferença para a continuidade do negócionessa situação.
O principal objetivo com este plano é restaurar os dados perdidos com agilidade. Assim, os especialistas criam um planejamento detalhado, definindo as atitudes a serem tomadas antes, durante e depois de um ataque.
É muito difícil prever esse tipo de situação, ainda mais se os phishers forem bons no que fazem. Mas, o plano de recuperação consegue inibir os efeitos da falha, preservando a integridade dos dados, caso ela aconteça.
Conclusão
Em tempos nos quais o digital cresceu exponencialmente, é importante se preparar para eventuais ataques de phishing. Uma simples mordida na isca pode gerar danos irreparáveis, caso sua empresa não esteja pronta.
Aproveite as dicas que deixamos e mantenha a funcionalidade dela protegida dos phishers, contratando especialistas no assunto.
Gostou do artigo? Então siga a SGA nas redes sociais e acompanhe todas as novidades: Facebook, Linkedin, Instagram e Youtube.