A maioria das pequenas empresas não cai em ataque “Hollywood”. Elas caem no golpe comum — o e-mail bem escrito pedindo clique, o pop-up dizendo que “seu PC está infectado”, ou a mensagem “urgente” fingindo ser seu fornecedor. Por isso, reconhecer sinais e saber o que fazer diante de ataques frequentes é uma das primeiras linhas de defesa. (Federal Trade Commission)
A seção Common Cyberattacks da FTC destaca quatro cenários que aparecem o tempo todo no mundo real: phishing, ransomware, impostores de e-mail corporativo (spoofing/BEC) e golpes de falso suporte técnico. Abaixo, você tem um guia prático para treinar a equipe e endurecer o ambiente.
1) Phishing: o “clique inocente” que vira incidente caro
Phishing costuma começar com um e-mail ou SMS que “parece de alguém conhecido” — um fornecedor pedindo para atualizar conta, ou “seu chefe” pedindo senha de rede. A mensagem normalmente tem três ingredientes: parece real (logos e endereços falsos), gera urgência (“faça agora ou algo ruim acontece”) e pede ação (clicar, baixar anexo, informar senha ou dados bancários). (Federal Trade Commission)
O que pode acontecer se alguém cair? O clique pode instalar ransomware ou outro malware que se espalha na rede; ou abrir uma página falsa pedindo credenciais/conta bancária. (Federal Trade Commission)
Como treinar a equipe para não cair (o “script” de 30 segundos):
- Verifique fora do e-mail: procure o site/telefone do suposto remetente por conta própria (não use o link/telefone do e-mail). (Federal Trade Commission)
- Olhe o remetente de verdade: passe o mouse/inspecione o endereço real para detectar spoofing. (Federal Trade Commission)
- Passe o mouse nos links: confira a URL antes de clicar. (Federal Trade Commission)
- Se pedirem login, não clique: entre no site do serviço manualmente e faça login por lá. (Federal Trade Commission)
- Na dúvida, ligue: confirme com fornecedor/cliente/colega usando um número que você sabe ser correto. (Federal Trade Commission)
- Converse com alguém: uma segunda opinião evita decisões por impulso. (Federal Trade Commission)
Camadas técnicas que reduzem o estrago do phishing:
- Backup fora da rede: faça backup regular e garanta que ele não fique conectado à rede, para poder restaurar após comprometimento. (Federal Trade Commission)
- Patches e atualizações sempre: use atualizações automáticas quando possível. (Federal Trade Commission)
- Autenticação de e-mail e forma de reportar: use tecnologia de autenticação para reduzir e-mails falsos chegando à caixa e treine o time a reportar como phishing/spam. (Federal Trade Commission)
Se o phishing aconteceu, a FTC recomenda: avisar colegas (normalmente mais de uma pessoa é alvo), trocar senhas comprometidas, desconectar dispositivo infectado da rede, seguir procedimentos internos, notificar clientes se dados foram comprometidos e reportar/encaminhar o phishing. (Federal Trade Commission)
2) Ransomware: quando “tudo trava” e pedem resgate
Ransomware é o cenário em que um clique (geralmente em phishing) instala um software que bloqueia o acesso à rede/dados e exige dinheiro/criptomoeda. Mesmo pagando, não há garantia de recuperar arquivos — e o atacante pode manter dados ou destruí-los. (Federal Trade Commission)
Como ele entra? A FTC cita caminhos comuns: phishing, exploração de vulnerabilidades de servidor, sites infectados que baixam malware, anúncios maliciosos (mesmo em sites confiáveis) e até protocolos de acesso remoto como RDP e VNC mal expostos/configurados. (Federal Trade Commission)
Como reduzir o risco (o básico que funciona):
- Plano de continuidade: tenha um plano para manter o negócio operando após ransomware e compartilhe com quem precisa saber. (Federal Trade Commission)
- Treinamento recorrente: inclua sinais de ransomware e formas de infecção na orientação e reciclagens. (Federal Trade Commission)
- Backups restauráveis: ter backup “fora da rede” vira o diferencial entre parada total e recuperação controlada. (Federal Trade Commission)
Se você for atacado (primeiras decisões):
- Limite o dano: desconecte imediatamente os dispositivos infectados da rede sem desligá-los, porque desligar pode apagar informações úteis para investigação. (Federal Trade Commission)
- Contate autoridades/reguladores: reporte ao escritório local do FBI e reguladores relevantes. (Federal Trade Commission)
- Execute seu plano: use backups para restaurar e manter operação. (Federal Trade Commission)
- Resgate é decisão de risco: a FTC reforça que autoridades não recomendam pagar e que pagamento não garante retorno dos dados. (Federal Trade Commission)
3) Business Email Imposters: quando o criminoso “vira sua empresa”
Aqui o golpe é direto: o criminoso cria um endereço que parece ser da sua empresa e dispara e-mails. Isso é spoofing, e o atacante é um “impostor de e-mail corporativo”. O objetivo: roubar credenciais, dados bancários ou induzir alguém a transferir dinheiro. (Federal Trade Commission)
Proteções-chave:
- Autenticação de e-mail (SPF/DKIM/DMARC): ajuda servidores a confirmarem se o e-mail é realmente seu — e bloquearem o que não é. (Federal Trade Commission)
- Atualizações + prevenção de intrusão: mantenha patches e use ferramentas que monitorem atividade suspeita e alertem. (Federal Trade Commission)
- Política de verificação interna: para pedidos sensíveis (ex.: transferência), exija confirmação por ligação/fluxo fora do e-mail. (Federal Trade Commission)
- Canal público de validação: tenha no site passos para verificar se um e-mail é legítimo e para reportar spoof. (Federal Trade Commission)
Se descobriu que estão se passando por você: reporte às autoridades/FTC/IC3 e encaminhe phishing para o endereço indicado pela FTC; avise clientes rapidamente e, se for por e-mail, não use links para não parecer phishing. (Federal Trade Commission)
4) Tech Support Scams: o “suporte” que quer seu dinheiro e seu acesso
Esse golpe aparece como ligação, pop-up ou e-mail dizendo que seu computador tem problema. O criminoso finge ser de uma empresa conhecida (ex.: Microsoft), usa jargão técnico e “prova” o problema com arquivos/scan que não significam nada — e então pede acesso remoto, vende “manutenção”, instala malware ou solicita cartão/conta bancária. (Federal Trade Commission)
Como se proteger:
- Ligaram dizendo que seu PC tem problema? Desligue: chamada inesperada é forte sinal de golpe, mesmo com número “local”. (Federal Trade Commission)
- Pop-up mandando ligar para suporte? Ignore: não clique no link nem ligue para o número do pop-up. (Federal Trade Commission)
- Está preocupado com vírus? Ligue para a empresa do software usando o telefone do site/nota/embalagem, ou procure um profissional de confiança. (Federal Trade Commission)
- Nunca entregue senha nem dê acesso remoto a quem te procurou do nada. (Federal Trade Commission)
Se caiu: troque senhas (principalmente se reutiliza), faça varredura com ferramenta legítima, desconecte o dispositivo da rede e revise a rede inteira; se pagou, peça estorno/cancelamento ao cartão e reporte à FTC. (Federal Trade Commission)
Feche o ciclo: transforme esses quatro cenários em treinamento curto, repetido e mensurável. O ataque comum é previsível — e justamente por isso é treinável.
