top of page

Entendendo a segurança: phishing

24 de out. de 20247 min de leitura

Entendendo a segurança: phishing
Entendendo a segurança: phishing

"O phishing é responsável pela maioria dos ataques cibernéticos, afetando usuários e organizações financeiramente e pessoalmente.

Provavelmente, seu dispositivo móvel não tem as mesmas defesas de segurança que seu laptop ou desktop. É por isso que é importante que você, o usuário final, faça tudo o que puder para se proteger de ameaças cibernéticas.

Este artigo se concentrará em phishing e ajudará você a entender:

  • O que é phishing

  • Como funciona

  • Como identificar sinais de que você foi vítima de phishing

  • Quais medidas tomar para mitigar ameaças de phishing

  • Como se proteger proativamente


O que é phishing?

Phishing é um tipo de ataque de engenharia social que os criminosos usam para:

  • obter credenciais de login

  • reunir números de cartão de crédito

  • dados de privacidade, como IP

  • acessos dos dispositivos

  • roubar dados do usuário


O phishing pode ser usado independentemente como um meio singular para atingir os objetivos dos agentes de ameaças ou como parte de um ataque direcionado maior e mais complexo. Independentemente do objetivo, o phishing ocorre quando um invasor se disfarça como uma entidade confiável para enganar uma vítima e fazê-la fornecer informações confidenciais. Algumas das tecnologias comuns usadas para contatar as vítimas são:


  • E-mail

  • SMS/mensagens de texto

  • Mídias sociais

  • Chamadas telefônicas/VoIP


Phishing é uma técnica de ataque simples, mas eficaz, que pode fornecer aos invasores uma riqueza de informações pessoais, financeiras e corporativas. O objetivo e a mecânica precisa do ataque podem variar, mas geralmente são centrados em torno da solicitação de informações pessoais da vítima ou em fazê-la instalar software malicioso que pode automatizar o comprometimento de seus dispositivos, permitindo que os criminosos tenham sucesso no ataque.


Como funciona o phishing?

Phishing não é apenas muito comum — é também uma das ameaças de segurança cibernética mais prejudiciais e de alto perfil que as empresas enfrentam hoje. De acordo com o IBM Cost of a Data Breach Report , o phishing está no topo da lista com 15% de todas as violações de dados, custando às organizações US$ 4,88 milhões em média.

Normalmente, uma mensagem não solicitada é recebida pelo alvo, incitando-o a executar uma ação, como clicar em um link. O link pode apontar para um arquivo infectado com malware, um arquivo trojan que executa código malicioso ou direciona a vítima para um site fraudulento. A partir daqui, a vítima é obrigada a concluir a ação inserindo suas credenciais de login ou fornecendo outras formas de informações confidenciais, que são canalizadas de volta para o agente da ameaça.

Essas informações podem ser usadas imediatamente por agentes de ameaças para obter acesso a um serviço como mídia social, contas bancárias ou e-mail de trabalho; ou os dados podem ser coletados e vendidos a outros na dark web


Tipos de ataques de phishing

Se você foi vítima de phishing, é provável que o ataque tenha sido feito de uma destas maneiras:

  • Smishing : criminosos enviam aos usuários uma mensagem SMS contendo um link para um site de phishing, geralmente com a intenção de roubar credenciais do usuário.

  • Whishing : Semelhante ao smishing, é marcado pelo envio de mensagens maliciosas no Whatsapp.

  • E-mail : O phishing por e-mail pode ser direcionado para e-mails pessoais ou corporativos, e pode parecer ser de uma organização ou site com o qual o alvo está familiarizado. Esses e-mails podem pedir ao usuário para fazer login no software que ele usa, enviando o usuário para um site malicioso, mas aparentemente legítimo.

  • Vishing : O phishing de voz pode envolver números falsificados que aparecem como instituições legítimas. Esses ataques também podem usar um programa de texto para fala ou uma voz real, e são frequentemente usados para obter informações financeiras de suas vítimas.

  • Spear phishing : Esses ataques são enviados a um alvo específico ou grupo de indivíduos, como membros do departamento de TI, e podem ser feitos por e-mail, texto ou outros meios. Agentes mal-intencionados podem se passar por um indivíduo que o usuário conhece, possivelmente pedindo assistência ou suas informações pessoais.

  • Whaling : Este tipo de ataque tem como alvo membros C-level ou outros executivos de alto perfil. Criminosos podem se passar por outros executivos para parecerem legítimos, eventualmente enviando suas vítimas para um site falsificado para coletar credenciais ou executar ações que exigem aprovações de nível executivo, como autorizar o pagamento de faturas falsas.

  • Postagens em mídias sociais e mensagens diretas : Atores mal-intencionados dependem cada vez mais das mídias sociais para alcançar suas vítimas. Como outros métodos, isso geralmente envolve uma identidade falsificada, como um administrador do serviço para coletar informações pessoais.


Como reconhecer um ataque de phishing

Com sorte, você notará alguns sinais de que está sendo alvo de uma campanha de phishing antes de chegar ao ponto de entregar suas informações valiosas. Alguns sinais aos quais prestar bastante atenção são:

  • Mensagens não solicitadas, e-mails e postagens sociais contendo links encurtados

  • Páginas da Web solicitando credenciais de login ou outras informações confidenciais

  • E-mails suspeitos com linguagem incomum

  • Páginas da Web com URLs suspeitos ou imitadores

  • Erros de ortografia, caracteres especiais ou erros gramaticais (observe que a IA está ajudando os malfeitores a melhorar nesse aspecto e alguns sites e mensagens podem parecer legítimos)

No exemplo de tentativa de phishing abaixo, a mensagem inclui um link encurtado e uma demanda por ação (já que os usuários gostariam de contestar uma compra que não fizeram). O link encurtado dificulta a verificação de sua legitimidade, enquanto a ausência de erros gramaticais ou de ortografia torna o ataque menos óbvio. O melhor curso de ação é ignorar o link completamente. Em vez disso, faça login manualmente ou ligue para qualquer conta bancária ou de cartão de pagamento para verificar se a compra realmente ocorreu.


Se você foi vítima de phishing e entregou suas informações, há alguns sinais reveladores que podem ajudar você a descobrir se você mordeu a isca. Os ataques de phishing podem variar e variam, e como eles geralmente são empacotados com outras ameaças, os sintomas podem ser muito amplos. Aqui estão alguns sinais que podem indicar que um ataque de phishing foi bem-sucedido:


  • Roubo de identidade

  • Transações desconhecidas

  • Bloqueios de conta

  • Confirmação de solicitações não solicitadas de redefinição de senha

  • E-mail de spam vindo da sua conta


O que fazer se você acha que foi vítima de phishing

Então você foi vítima de phishing. E agora?

  1. Se o dispositivo comprometido for de propriedade da empresa ou se a conta de e-mail vítima de phishing for relacionada ao trabalho, informe o problema ao departamento de TI da sua empresa imediatamente.

  2. Coloque o dispositivo afetado em quarentena, se possível, ou deixe sua conta de e-mail offline temporariamente para evitar a disseminação de links de phishing para suas listas de contatos.

  3. Altere todas as senhas das contas que foram comprometidas, bem como das contas que usam senhas iguais ou semelhantes às que foram capturadas.

  4. Se você inseriu as informações do seu cartão de crédito na página de phishing, informe a empresa bancária/de cartão de pagamento imediatamente para evitar uso posterior e emita um novo número de cartão imediatamente.

  5. Examine seu dispositivo em busca de malware. Além disso, execute atualizações no sistema operacional e nos aplicativos do seu dispositivo para mitigar quaisquer vulnerabilidades que possam ser exploradas posteriormente por agentes de ameaças decorrentes do ataque de phishing.

  6. Verifique as configurações de segurança para quaisquer contas afetadas no ataque. Especificamente, habilite e configure controles de segurança para minimizar a capacidade de agentes de ameaças comprometerem ou assumirem contas no futuro.

  7. Fique atento aos avisos de roubo de identidade e coloque um alerta de fraude em suas contas financeiras.


Medidas proativas que você pode tomar para se proteger

Dispositivos móveis correm maior risco de ataques de phishing bem-sucedidos. Sua tela menor e uso em movimento tornam mais difícil inspecionar links de perto para legitimidade, e os usuários geralmente estão com muita pressa para fazer isso de qualquer maneira. Além disso, embora muitos usuários baixem proteção contra ameaças para seus computadores, menos o fazem em dispositivos móveis. É por isso que um exame cuidadoso é necessário.

É melhor prevenir do que remediar. ” — Benjamin Franklin

Fique protegido contra phishing seguindo estas orientações:

  • Nunca clique em nenhum link — copie e cole o link no seu navegador para verificá-lo antes de visitar uma página da web

  • Nunca insira as informações do seu cartão de crédito (ou outras informações confidenciais/sensíveis) em serviços desconhecidos ou não confiáveis

  • Se um link direcionar você para o site do seu banco, abra o site do banco em uma janela separada digitando o URL manualmente ou use o aplicativo (se disponível) para acesso direto

  • Sempre verifique a barra de endereço em busca de URLs suspeitos ou imitadores, como o my.apple.pay.com

  • Não caia em golpes mais óbvios que afirmam que você ganhou um prêmio

  • Se você receber uma mensagem no aplicativo, nunca responda com informações pessoais, como seu número de telefone ou forneça suas credenciais. Em vez disso, comunique-se com a organização diretamente por meio de uma de suas opções de contato fora do aplicativo.


As organizações devem tomar medidas para minimizar o sucesso de phishing em dispositivos corporativos e BYOD. Isso inclui:


  • Realizar treinamento regular de funcionários sobre ataques de phishing e como identificá-los

  • Implementar controles de segurança para evitar que ameaças cheguem às caixas de entrada dos funcionários

  • Realizar campanhas de avaliação ativa para testar o sucesso da resposta do usuário na identificação e mitigação de ameaças

  • Usando autenticação multifator (MFA) para evitar que credenciais roubadas sejam usadas

  • Implantando software de prevenção de ameaças móveis para bloquear o acesso a URLs de phishing — mesmo se/quando forem clicados

  • Suporte ao uso de gerenciadores de senhas que preenchem automaticamente com base em um domínio de site verificado (portanto, ele identificará sites falsos e não inserirá credenciais em sites de phishing)

  • Manter os dispositivos atualizados com o sistema operacional, aplicativos e patches de segurança.


Gostou dessas orientações de segurança?

Para mitigar essas e outras ameaças, além aprimorar seu gerenciamento de TI, vem falar com a MacSolution.

Comments

bottom of page