Você provavelmente já ouviu falar de muitos crimes cibernéticos que vêm ameaçando empresas na atualidade – o ransomware e o cryptojacking são exemplos que ganham as manchetes. Mas e o que é phishing? Você conhece esse ataque tão comum e, indo mais a fundo, sabe como manter seu negócio protegido desse mal?
Phishing é um crime virtual – geralmente realizado na forma de e-mail – no qual criminosos levam os usuários a revelarem informações sigilosas, incluindo senhas, dados bancários e CPF.
Dito isso, é bem provável que você já tenha sido alvo de um e-mail de phishing, inclusive no ambiente corporativo. A seguir, saiba mais sobre a ameaça, seus tipos e como blindar sua empresa desse tipo de golpe tão comum!
O que é phishing e como funciona o crime cibernético?
Notou a semelhança de “phishing” com outro termo em inglês? A ameaça cibernética foi batizada com base na expressão “fishing” (“pescar”, “pesca”), já que os criminosos “pescam” os dados dos usuários, lançando uma “isca” para enganá-los.
Nesse sentido, a isca pode ser um e-mail (mais comum), um telefonema, um site falso, SMS e até pop-ups atrativas, que são enviadas no nome de pessoas ou empresas. Vale lembrar, aqui, que o perigo do phishing é que ele realmente vem na forma de contatos que parecem legítimos – podendo surgir inclusive por trás de marcas reconhecidas, bancos e até instituições como os Correios e o PayPal.
A chave da ameaça é sempre solicitar um dado ou ação. Pode ser pedir que você clique em um link ou abra um arquivo de e-mail, instale/atualize um determinado software, ligue para um certo número… as estratégias dos criminosos são muitas, sempre com um mesmo objetivo: acessar informações pessoais das quais podem tirar proveito.
Conheça os tipos de phishing
Agora que você conferiu o que é phishing, vale a pena também conhecer as diferentes formas como esse golpe pode se manifestar. Fique de olho:
Blind Phishing
É o tipo mais comum, partindo de um disparo de e-mail em massa. Não há muita “elaboração” por trás desse ataque: os criminosos contam apenas que algum receptor desprevenido vai cair na armadilha e cumprir a ação desejada.
Whaling
Diferente do blind phishing, que não tem nenhum critério, o whaling é direcionado especialmente para os “peixes grandes”, ou seja, profissionais de alto nível ou reconhecimento. Pode ser o presidente de uma grande organização ou executivos em cargos-chave. Geralmente o golpe aparece “fantasiado” de notificações corporativas ou uma intimação judicial.
Scam
Surgindo via e-mail, SMS, redes sociais, telefonema ou outros, o scam é o tipo de phishing que mira nas suas informações pessoais. Dados de cartão de crédito, senhas e contas bancárias são os casos clássicos. Ao obter sucesso no ataque, os criminosos se utilizam dessas informações para roubar e fazer transações financeiras a seu favor.
Clone phishing
Esse é o phishing do “site falso”, que é clonado de um verdadeiro. Atraindo os usuários para o endereço fake, os criminosos induzem o registro de informações para cadastro em formulários, “roubando-as”. Logo depois, os usuários são direcionados para os portais originais, sem perceber que foram enganados.
Spear
Aqui, o crime de phishing é focado em um determinado grupo de pessoas (clientes de uma determinada empresa, concursados do governo etc). O objetivo do ataque é conseguir acesso a dados específicos desse grupo, incluindo arquivos sigilosos e informações financeiras confidenciais.
Smishing
É o phishing que assume o formato dos SMS (mensagens de texto). As iscas, nesse caso, costumam incluir sorteios, prêmios, possíveis dívidas e valor a receber em dinheiro.
Pharming
Nesse tipo de crime, o phishing “contamina” o DNS (ferramenta que transforma os IPs em domínios de sites). Afetando os usuários em grande escala, esse phishing faz com que a digitação de uma certa URL direcione a pessoa para uma página fake, que propicia o crime.
Vishing
Esse golpe de phishing faz uso da voz para induzir a pessoa ao ataque. Podem ser telefonemas diretos ou ligações que são acrescidas de SMS, solicitando que o usuário ligue para um certo número a falso pretexto.
Saiba Mais: Guia de Treinamento em Segurança da Informação: dicas para sua empresa
Como identificar o que é phishing?
- Quando receber mensagens com ofertas “boas demais”, não deixe de desconfiar. Pode ser um e-mail indicando que você recebeu uma grande quantia em dinheiro ou mesmo uma mensagem tratando sobre uma restituição no imposto de renda;
- E-mails ou SMS que vêm acompanhados de links externos, convidando para o clique. Não deixe de passar o mouse acima do link para verificar a URL. Entretanto, fique atento: muitos criminosos se utilizam de domínios bastante similares aos de empresas verdadeiras;
- Antes de abrir qualquer anexo de e-mail, verifique se realmente conhece o destinatário e se o conteúdo do corpo do e-mail é condizente com o esperado. Sempre suspeite de anexos que contenham extratos de banco, multas e comprovantes de depósito. Muitas vezes esses arquivos contêm vírus e outros malwares;
- Suspeite de frases de efeito e gatilhos mentais, como “sua conta foi bloqueada”, “você foi multado” e “você está em débito com a (x) instituição. Na dúvida, nunca abra as mensagens e verifique junto às empresas e órgãos responsáveis se realmente há um problema;
- Desconfie de mensagens em geral que venham de remetentes desconhecidos, assim como de conteúdos com títulos atraentes/apelativos e instruções que peçam acesso aos seus dados pessoais.
Saiba Mais: Antivírus para PMEs: 7 passos para proteger seu negócio com o Emsisoft Cloud Console
Como proteger seu negócio do ataque virtual?
Em primeiro lugar, quando o assunto é o ambiente corporativo e também a proteção pessoal, é fundamental implementar um conjunto de boas práticas de segurança, treinando todos os colaboradores para um uso mais consciente dos equipamentos e da rede de navegação da empresa.
Nos negócios, de fato, a colaboração de todos é um ingrediente indispensável para manter a comunicação alinhada entre todos os departamentos, centralizar as informações e integrar a área de TI com o objetivo de minimizar os riscos e potencializar a segurança.
Dentre as boas práticas mais importantes, podemos citar:
- não acessar anexos de e-mails de desconhecidos ou que não são esperados;
- proteger senhas de qualquer natureza ao máximo, não informando-as em qualquer hipótese;
- não fornecer dados confidenciais a ninguém, em nenhuma situação;
- não responder a links de e-mails não adicionados ou a links de redes sociais;
- sempre verificar a URL (endereço) dos sites ao acessá-los, identificando possíveis erros de grafia ou diferenças (“.com” quando deveria ser “.br” ou “.gov”, por exemplo);
- analisar bem os e-mails recebidos, em busca de conteúdos maliciosos ou suspeitos;
- manter os navegadores sempre atualizados, assim como deixar as atualizações de segurança em dia;
- treinar toda a equipe para implementar as medidas de segurança no dia a dia de trabalho, conscientizando os colaboradores acerca da importância de se combater os crimes cibernéticos.
Saiba Mais: 7 maneiras para se proteger de um ataque hacker
Proteja seu negócio com os melhores antivírus!
Além das boas práticas em segurança da informação acima, é preciso que as empresas (que têm dados corporativos, financeiros e de clientes valiosos para seus processos) contem com ferramentas eficientes contra phishing e outros crimes virtuais.
É fundamental, assim, investir em um bom firewall e um bom antivírus. O software de firewall atua como uma barreira verificadora da procedência de sites, verificando se estes estão “limpos” para acesso.
Por sua vez, um bom antivírus (além de proteger contra phishing) também desempenha uma série de ações de segurança, incluindo a proteção de arquivos em tempo real, a varredura contra diversos ataques hacker, a aplicação de políticas e permissões de equipe e proteção da navegação. É o caso do Emsisoft Cloud Console e do Symantec Antivírus.
E então, esclareceu suas dúvidas sobre o que é phishing e como se proteger dessa ameaça? Na Backup Garantido, contamos com as melhores soluções e tecnologias em segurança da informação para empresas de todos os segmentos. Entre em contato conosco e vamos conversar sobre as melhor forma de garantir a proteção do seu negócio!
Créditos da imagem de destaque: freepik
