Saiba como Detectar um Golpe de Phishing
- Time do TheWebGuardian
- 4 de jan. de 2024
- 5 min de leitura
Atualizado: 30 de abr. de 2024
O que é Phishing?
Caso você ainda não tenha lido nosso Post sobre Phishing, clique aqui para conhecer melhor este artifício usado pelos engenheiros sociais.
Phishing consiste em diversas maneiras de enganar / ludibriar as pessoas, jogando uma “isca” que chama a atenção - assim o atacante tenta fisgar vítimas.
Phishing deriva do verbo “to fish” (pescar) e é uma forma de incitar as pessoas a tomarem uma ação (reagirem), baseada em algum tipo de gatilho psicológico / emocional.
Usualmente os esquemas de Phishing são feitos via e-mail - com o envio de links maliciosos, ou de anexos/arquivos contaminados. Outras vezes usa-se SMS ou mensageiros.
Onde houver uma forma de fazer com que alguém clique num link ou faça o download de arquivo, todos os meios de comunicação são usados, inclusive mídias sociais e fóruns.
O que é Spam e Spim?
Spam é o termo que designa e-mails não-solicitados, enviados por contatos desconhecidos. Muitas vezes até o provedor de serviço de e-mail “joga” certas mensagens na pasta de Spam.
Spim é o termo que designa o recebimento de conteúdo não-solicitado via mensageiros instantâneos.
Estatísticas sobre Golpes de Phishing
Estima-se que 80% de todos os casos de vazamento de dados e de ataques hacker bem-sucedidos começaram através de um método de Phishing
As datas comemorativas - como Dia das Mães/Pais, Natal, Black Fridays são as épocas em que mais se fazem ataques de Phishing, devido ao aumento dos acessos ao e-commerce
Spam e e-mails de Phishing são os métodos mais comuns para disseminar malwares
E-mails de spam constituem quase a metade (50%) de todo tráfego mundial de e-mails
Quais os Objetivos do Phishing?
Obtenção de informações pessoais e sensíveis
Acesso não-autorizado a senhas e credenciais
Instalação de malwares para posterior infiltração em sistemas e redes
Dados roubados são usados para abrir contas, fazer crediários ou até falsificar documentos
Conseguir lucro financeiro, através de doações / transferências para caridade
Formas de Exploração Psicológica
A Engenharia Social baseia-se e explora a psicologia humana. Ataques de Phishing usam ferramentas de comunicação que as pessoas acessam todos os dias.
Esses malfeitores cibernéticos se aproveitam (e contam) com o instinto natural que as pessoas têm em ajudar outros, com a vontade de serem prestativas e solícitas.
Mas a inerente atitude de acreditar antes de desconfiar acaba tornando-se um ponto fraco, uma vulnerabilidade... uma brecha que é explorada pelos atacantes.
Todos os golpes de Phishing têm algum tipo de apelo emocional - positivo ou negativo, como:
mensagens em tom de ameaça
textos que instigam a possibilidade de ganho fácil
ofertas e promoções por tempo limitado, muito boas “para serem verdade”
pedido de sigilo e/ou confidencialidade
textos que parecem direcionados a você - como se conhecessem suas preferências
mensagens que despertam emoções negativas - como medo, preocupação, ansiedade, urgência, desespero, ou emoções positivas como alegria, satisfação,
Indícios de um Esquema de Phishing
Para detectar um e-mail ou mensagem de Phishing, é preciso estar atento. As pessoas tendem a “passar os olhos” ao invés de lerem - o chamado “skimming”.
O mundo da internet - onde tudo é veloz e rápido, acaba iludindo as pessoas, fazendo com que achem que não têm tempo para nada, e que estão sempre “na correria”.
Esse caráter / senso de urgência faz com que tomemos ações repentinas e desatentas. E é justamente essa “mania” de fazer tudo às pressas que acaba fazendo vítimas.
ATENÇÃO: Um e-mail começa a ser suspeito a partir do momento em que você o recebeu, mas nunca se cadastrou no site do remetente, ou nunca teve qualquer contato com a empresa.
Veja a seguir os principais indícios de um possível esquema de Phishing:
1 - Solicitação de Ação Imediata - Caráter de Urgência
A mensagem informa que há um problema com sua conta, ou com sua senha
Há uma requisição para que você confirme sua senha ou dados da conta
A mensagem diz que “atividades suspeitas” foram detectadas na sua conta
Envio de notificação sobre pagamento não-realizado ou não-recebido
Ameaça de bloqueio da conta caso sua identidade não seja confirmada imediatamente
Solicitação de atualização do “Token”
Envio de cupons, brindes ou links de “ofertas-relâmpago”
Mensagens que dizem que você tem cashback ou direito a ressarcimento
Alertas sobre atualização de softwares e programas
Mensagens com link para atualização de segurança (security update)
Link para que você verifique se sua conta não foi comprometida
Alertas do sistema operacional
Solicitações de atualização ou validação de credenciais
2 - Indícios Textuais e Visuais
Estas são algumas coisas que usualmente indicam um golpe:
Mensagem tem vários erros ortográficos e gramaticais
Não é redigida a você especificamente - não consta seu nome
Letras são substituídas por números, ou vice-versa: por exemplo, a letra “O” torna-se um zero, o número 1 está escrito I
O assunto da mensagem não condiz com o conteúdo
O logotipo - e outros elementos de identidade visual, não estão condizentes com a marca oficial
O texto da mensagem foi transformado em imagem (não é possível copiar)
3 - Exploração de Autoridade e Suspeita de Autenticidade / Legitimidade
Um e-mail de Phishing pode aparentar ter vindo:
De seu chefe e/ou empregador, ou de alguém com cargo de autoridade (CEO, etc)
De algum departamento existente em sua empresa
De um colega de trabalho, de um cliente ou de uma pessoa conhecida
De alguém que está na sua lista de contatos
De uma empresa renomada, na qual você tem cadastro
De uma instituição governamental (como a Receita Federal)
De uma instituição bancária ou operadora de cartão de crédito
De algum provedor de serviços (internet, água, eletricidade)
De alguma instituição de caridade, ONG ou associação sem fins lucrativos
De um website de vagas de emprego
Contra-Medidas para Maior Segurança:
Para usuários da internet em geral:
Não (evite a todo custo!):
Acessar websites sem criptografia (do tipo HTTP)
Abrir e-mails suspeitos
Clicar em links duvidosos
Fazer download de anexos/arquivos não-solicitados ou de sites suspeitos
Fazer ligações para números desconhecidos
Atender ligações ou chamadas de vídeo de desconhecidos
Fornecer dados e informações pessoais
Ficar mal informado sobre esquemas de fraudes e golpes cibernéticos
Fazer as coisas com pressa e falta de atenção ou descuido
Para empresas e seus funcionários:
Fique atualizado sobre esquemas de fraudes e golpes cibernéticos
Conscientizar sobre o risco de mensagens e e-mails suspeitos
Consultar e informar a pessoa responsável pela segurança em caso de dúvidas
Relatar potenciais incidentes ou riscos
Implementar a Autenticação de Dois Fatores
Instruir sobre o bloqueio de contatos e URLs maliciosas
Fazer uso de Sistemas de Detecção de Intrusões (IDS)
Reenforçar as regras de segurança
Promover palestras, workshops e reuniões de instrução e orientação
Compartilhar exemplos de Phishing e apontar os indícios dos golpes
Deixar claras as consequências de um golpe bem-sucedido
Atualizar os procedimentos e diretrizes relativos à política de segurança da informação
Orientar as pessoas como fazer uso das ferramentas de denúncia existentes nos softwares
Considerações
Você pode ter os melhores sistemas de segurança e ferramentas instaladas. Uma empresa pode conduzir o negócio tendo posturas irretocáveis sobre segurança.
Mas se as pessoas que estão usando essas ferramentas não forem apropriadamente orientadas e/ou treinadas, haverá sempre brechas na segurança.
NOS VEMOS NOS PRÓXIMOS POSTS!
Sites Pesquisados:https://www.avira.com/pt-br/blog/como-identificar-e-evitar-e-mails-de-phishing-com-exemplos; https://blog.usecure.io/pt/the-most-common-examples-of-a-phishing-email
