O que é phishing e como você pode evitá-lo

O que é phishing e como você pode evitá-lo

Phishing tem se tornado cada vez mais comum na nossa caixa de entrada de email. É verdade, todos nós já recebemos emails fraudulentos, em geral tentadores, alguns oferecendo algo irresistível e outros nos pedindo para compartilhar nossas informações pessoais.

Em geral, fora do Brasil, como exemplo, é um email simples de um advogado informando-nos da morte de um milionário que nos deixou uma fortuna. E para reivindicar essa fortuna, temos que cumprir alguns requisitos importantes que incluem o compartilhamento de detalhes confidenciais.

— Dentro do Brasil, é normal receber email supostamente do banco para regularizar pendências, assuntos relacionados com a Receita Federal IRPF ou informações de envio de compras com apelo para verificar recibo e por aí vai.

Isso é o que os especialistas em ciber segurança chamam de Phishing. Se você cair na armadilha de um desses emails ou mensagens fraudulentas, isso significa que você foi fisgado, roubado, enganado, iludido ou qualquer que seja o nome.

Emails fraudulentos são uma das muitas formas de phishing. Existem muitas maneiras nefastas pelas quais um criminoso cibernético pode roubar pessoas e alvos potenciais.

Se não quiser ser vítima dele, recomendamos que você aprenda o que é phishing, seus tipos, como identificá-lo e, o mais importante, como evitá-lo.

Veja como são:

“Caro cliente. Fomos informados de que houve uma tentativa de sacar $ 1.000 de sua conta em outro país. Se você não retirou o valor, acreditamos que foi tentado por um terceiro desconhecido. Acesse o link a seguir para verificar as informações da sua conta para protegê-la: URL . ” Esta afirmação lembra alguma coisa?

O que é phishing?

Definição:

Phishing

/ ˈFɪʃɪŋ /

Substantivo: phishing

É a prática fraudulenta de enviar e-mails alegando ser de empresas conceituadas para induzir indivíduos a revelarem informações pessoais, como senhas e números de cartão de crédito.

O phishing é a arma digital mais comum que existe, porém muito eficaz, que os cibercriminosos têm em seu arsenal de crimes.

Os cibercriminosos conduzem ataques de phishing, geralmente por meio de email direto na caixa de entrada, seja no Hotmail, Gmail, Yahoo Mail ou qualquer outro serviço.

Os email são disfarçados para parecer ser de uma fonte confiável para enganar os destinatários, a ideia principal e fazer que cliquem em um link malicioso ou baixem um anexo para serem fisgados no phishing.

Todo ataque cibernético tem um propósito por trás dele, assim como os ataques de phishing. Os cibercriminosos usam esses ataques para obter informações pessoais ou críticas de negócios do destinatário.

O phishing tem como alvo dados pessoais, ex: dados bancários ou de cartão de débito e crédito, o hacker os usará para ganhos financeiros, como roubar fundos e dinheiro das contas pessoais da vítima.

Se forem dados corporativos, investem em credenciais para a rede comercial, com isso eles podem ser usados ​​para sabotar os negócios, causar perdas financeiras ou manchar a reputação da empresa.

Em sua pesquisa de benchmark GDPR com 1.650 entrevistados, a Deloitte descobriu que 59% das pessoas teriam menos probabilidade de comprar de uma empresa envolvida em uma violação de dados, enquanto 25% relataram menos confiança.

Para lhe dar uma ideia clara, aqui está uma análise dos tipos de dados que os hackers extraem por meio de ataques de phishing:

  • Informações pessoais: nome, endereço de email, número de CPF e seguridade social.
  • Informações do cartão de crédito: número CC, número PIN, nome de usuário, senha.
  • Informações comerciais: patentes, previsões de vendas, insights de produtos.
  • Informações bancárias: credenciais online, número da conta, PIN.
  • Informações médicas: reivindicações de seguros pessoais.
  • Informações trabalhistas: reivindicações de direitos trabalhistas – Fgts, seguro desemprego.
  • Informações previdenciárias: reivindicações de empréstimos, aposentadoria etc.,

Phishing não é uma arma cibernética recém-criada. Ele existe desde meados da década de 1990 e, com o tempo, os ataques de phishing se tornaram mais avançados e eficientes o suficiente para atingir grandes redes ou grupos de pessoas.

Se levarmos os fatos em consideração, aproximadamente 88% das empresas em todo o mundo sofreram ataques de spear-phishing (um dos tipos) apenas em 2019.

Ok, vamos colocar as estatísticas de lado por um momento e olhar para a história dessa ameaça generalizada que tem sido uma força a ser considerada desde o dia em que surgiu.

História do Phishing

História do Phishing

O termo phishing é um paralelo da palavra “pesca” ou “fisgar”. O ataque é usado para atrair usuários desavisados ​​como um pescador usa iscas para pegar peixes. Agora, você pode se perguntar: por que não chamar isso de “pescaria” então?

Bem, nos primórdios do hacking, os hackers se autodenominavam phreaks. Na época, o phreaking (1),(2) era uma técnica que os hackers usavam para violar os sistemas de telecomunicações. Agora, você entendeu o motivo pelo qual ele é chamado de “phishing?”

Então, onde começou o phishing?

Tudo começou com a AOL, um dos maiores provedores de serviços de Internet da década de 1990, com mais de um milhão de assinantes. Vamos ver na linha do tempo:

1990

Os hackers iniciaram uma comunidade conhecida como warez na AOL (AOL Warez Group), onde inicialmente comercializavam ferramentas pirateadas. (Warez é a abreviação de “software”.) Mais tarde, eles começaram a roubar nomes de usuário e senhas de usuários da AOL.

Junto com um algoritmo que criaram, eles começaram a gerar informações de cartão de crédito por meio dos dados roubados. Os cartões de crédito falsos foram então usados ​​para criar contas AOL para enviar spam para outros usuários AOL.

1995

Quando a AOL criou contra-medidas contra o algoritmo e as contas falsas, os hackers passaram a falsificar os emails. Foi onde o phishing começou. Os hackers se disfarçaram de funcionários da AOL e começaram a enviar emails falsos para usuários da AOL.

Como o phishing era um conceito novo na época e os emails eram exatamente semelhantes aos da AOL, os hackers acharam relativamente fácil atrair usuários desavisados ​​para que compartilhassem suas informações pessoais.

2003

Os cibercriminosos voltaram sua atenção para a primeira moeda digital, então, o E-Gold. Usando as mesmas táticas de falsificação de identidade, os ciber-golpistas conseguiram enganar os clientes E-Gold para que compartilhassem suas credenciais.

Como resultado, as contas dos usuários foram drenadas antes mesmo que eles percebessem.

No entanto, os golpistas não conseguiram nenhum sucesso significativo em drenar o E-Gold das empresas, pois o sistema de pagamento online tomou medidas imediatas para impedir o phishing.

No mesmo ano, quando o phishing ganhou imensa popularidade na comunidade de hackers, os golpistas começaram a registrar domínios falsos que se assemelham a entidades genuínas, como eBay e PayPal.

Eles usaram emails falsos para interceptar usuários desavisados ​​do eBay e PayPal e convenceram os usuários a compartilhar suas informações pessoais, bem como detalhes de cartão de crédito.

2004

Ao praticar sua arma recém-descoberta em alvos menores e aperfeiçoar suas habilidades, os criminosos cibernéticos se voltaram para alvos maiores e mais recompensadores, como sites de bancos globais.

2004 / 2005

Foi somente em 2004 e 2005 que o mundo começou a ver os danos significativos causados ​​por ataques de phishing. Foi estimado que os usuários dos Estados Unidos sofreram uma grande perda de aproximadamente US $ 929 milhões devido a ataques de phishing.

Independentemente da miríade de medidas de segurança e mensagens de conscientização, indivíduos e organizações ainda são vítimas de phishing até o momento.

Uma razão provável é que o phishing se tornou bastante sofisticado com o passar dos anos, e os golpistas desenvolveram várias maneiras de atacar as presas e se especializaram em conhecer suas vítimas.

4 tipos de técnicas mais comuns de phishing

4 tipos de técnicas mais comuns de phishing

Existem várias maneiras de realizar ataques de phishing em todo o mundo. Para minimizar esses problemas, criamos um guia simples mais detalhado sobre quais os tipos de phishing, e você pode ler a partir daqui.

No entanto, iniciaremos falando sobre as quatro técnicas mais usadas e que são as favoritas dos cibercriminosos para enganar suas vítimas:

1. Spear Phishing

O “Treinamento com Lança”, os antigos chineses saudavam as lanças como o “Rei de todas as armas“. Provavelmente é por causa de sua eficiência, alcance e os danos que pode causar. Spear phishing é igualmente eficiente e poderoso.

Spear phishing é uma das formas direcionadas de phishing. É usado para atingir indivíduos ou entidades específicas. O hacker primeiro identifica o alvo, aprende tudo sobre ele quanto possível e, em seguida, ajusta um email falso com maiores chances de entregar o resultado desejado.

Sem surpresa, normalmente funciona!

De acordo com o diretor do SANS Institute, 95% dos ataques bem-sucedidos a organizações são resultado de spear phishing.

2. Clone phishing

O clone phishing pode ser mais eficiente do que os clone troopers da série de filmes Star Wars. Como o nome sugere, os hackers clonam um email genuíno de uma fonte confiável.

Eles usam a mesma comunicação do email em sua versão clonada ou falsificada, exceto que os links ou anexos são substituídos por uma versão maliciosa.

O link malicioso leva a vítima a outro site falsificado ou apenas instala malware no sistema do usuário por outros motivos nefastos, como a criação de um botnet.

3. Smishing

Os ataques de smishing são comumente chamados de phishing de texto. A vítima recebe mensagens de texto falsas de golpistas que podem se passar por um anfitrião de loteria ou da Receita Federal.

A mensagem de texto falsificada geralmente contém links que direcionam os usuários a sites maliciosos que instalam malware nos dispositivos dos usuários.

O malware é usado no ataque de smishing para roubar informações pessoais dos usuários, como detalhes de cartão de crédito, localização, fotos, etc.

4. Pharming

Se o phishing clone é usado para enganar os usuários na web por meio de emails clonados falsos, os ataques de pharming são realizados apresentando aos usuários uma versão falsa de um site legítimo.

Como é o próprio hacker que hospeda o site, ele consegue facilmente roubar informações e dados sensíveis que o usuário usaria no site legítimo como o deu banco ou serviço financeiros.

Alguns ataques de pharming usaram até mesmo sites genuínos que são sequestrados por hackers para roubar dados dos usuários. Outros tipos bem conhecidos incluem vishing e engenharia social.


Golpes de phishing na vida real

Vejamos alguns dos casos de phishing do mundo real para entender melhor como os hackers conseguem expô-lo a essa ameaça cibernética que atualmente é generalizada.

Golpes de phishing usando Coronavirus

Os hackers e criminosos cibernéticos frequentemente encontram nas crises mundiais uma oportunidade única, o COVID-19 não foi diferente.

Na Internet podemos ver que muitas pessoas mal-intencionadas usaram temas relacionados ao COVID para criar urgência para que internautas e usuários de produtos e serviços respondessem a ataques de phishing e golpes online

A pandemia causada pelo COVID-19, além de ter ceifado centenas de milhares de vidas em todo o mundo, fez os governos obrigarem as pessoas a permanecerem em suas casas.

Cada pessoa que vive no planeta Terra está sofrendo as consequências desta pandemia, seja financeiramente, emocionalmente, psicologicamente ou ambos.

Nestes tempos de grandes necessidades, as pessoas deveriam ficar mais fortes e ter mais compaixão umas com as outras.

Isso seria o ideal, no entanto, alguns indivíduos corruptos assumiram a responsabilidade de transformar essa situação terrível em uma oportunidade de lucrar e ganhar dinheiro online de forma ilegal.

Os golpistas seguiram caminhos diferentes para enganar as pessoas apavoradas e transformá-las em golpes de phishing para fraude e outros fins maliciosos.

Quando o COVID-19 nos atingiu pela primeira vez no inicio de 2020, na América do Norte por exemplo, os golpistas começaram a enviar mensagens de texto falsas que parecem vir do Departamento de Saúde e Serviços Humanos dos Estados Unidos.

No Brasil não foi diferente, milhares de pessoas receberam emails da Anvisa e do Ministério da Saúde com mensagens criadas para enganar os usuários e cidadãos brasileiros.

Os textos em geral continham links de registro com a mensagem de que seria obrigatório para agendar testes do Covid.

Na realidade, os links continham malware que os golpistas estavam usando para coletar as informações pessoais das vítimas e alguns casos sequestram seu devices para transformá-los em bots ou mineradores.

Para colocar as coisas em perspectiva, mais de 18 milhões de emails e sites de phishing relacionados à Covid foram bloqueados, conforme relatado pelo Grupo de Análise de Ameaças do Google (Threat Analysis Group – TAG).

Golpes de phishing nas eleições presidenciais americanas

Os golpes de phishing ocuparam um lugar de destaque durante as eleições presidenciais em quase todo o mundo.

Nos Estados Unidos onde os registros de votação foram mudados para online, deu uma imensa oportunidade para golpistas digitais para enganar os eleitores.

Os golpistas enviam emails de phishing e mensagens de texto aos eleitores, alegando que seu cadastro estava incompleto e eles precisam adicionar informações pessoais para concluir o registro, que incluem o número do seguro social, SSN é parecido com o nosso CPF.

Alguns emails continham sites falsos nos quais o eleitor era redirecionado para preencher formulários falsos com informações pessoais reais que, em última análise, os deixariam expostos a fraudes, roubo de identidade e outras ameaças.


Como detectar ataques de phishing

O phishing pode ser uma ferramenta eficaz para hackear.

Mas se você estiver ciente de alguns sinais fundamentais de phishing, poderá identificá-lo imediatamente.

Vamos dar uma olhada em alguns dos identificadores mais comuns de phishing:

1. Solicitação não solicitada

Emails de phishing são enviados para coletar informações confidenciais, como nomes de usuário, códigos e senha de bancos ou números de previdência social.

Lembre-se sempre que empresas e instituições genuínas nunca pedem que você compartilhe esses detalhes confidenciais por telefone, SMS ou por email. Na verdade, os emails genuínos raramente contêm anexos ou solicitam que você baixe o anexo.

Você pode receber a qualquer momento um email não solicitado com uma mensagem muito genérica pedindo diretamente para você baixar um anexo ou atualizar suas credenciais.

2. Emails genéricos mal escritos

Uma das maneiras mais fáceis de identificar um email de phishing é verificar a qualidade da redação do texto. Alguns emails de phishing contêm linguagem inadequada, com erros tipográficos e gramaticais. Esses emails geralmente contém algum erro gramatical.

Grandes e pequenas empresas nunca enviariam email com erros, pois eles normalmente são escritos por profissionais de marketing e revisados antes do envio. Um email mal escrito prejudica a imagem do produto ou marca de uma empresa.

Dito isso, alguns estudiosos do assunto acreditam que esses emails com erros são enviados deliberadamente para filtrar alvos fáceis de atacar.

3. Nome de domínio incorreto

Empresas legítimas têm seus nomes de domínio de marca que também usam para emails. Por exemplo, um email da Internetix se parece com este: [email protected].

Esta é mais uma pista que pode ajudá-lo a identificar um endereço de email não solicitado, spam, phishing ou falso.

Os hackers usam nomes de domínio incorretos ou com erros ortográficos que se assemelham um pouco a um nome de domínio genuíno para enganar usuários desavisados, como ex: [email protected].

Como esses nomes de domínio com erros ortográficos não são detectados à primeira vista, os hackers têm a oportunidade de convencer os usuários a se passarem por um funcionário ou representante de uma empresa legítima.

4. Endereço de email sem marca

Conforme mencionado acima, se o Internetix fosse uma empresa prestadora de serviço e tivesse um produto a vendo online, você receberia um endereço de email de um dos nossos representantes que seria assim: [email protected]

Alguns emails falsificados, por outro lado, usam endereços de email genéricos para alvos de phishing.

Eles podem usar o nome de uma organização legítima no assunto ou como nome do remetente, mas seu email pode vir de um endereço de email geral, como @gmail.com, @hotmail.com ou @yahoo.com.

Empresas legítimas não usam endereços de email genéricos ou emails gratuitos da Internet. Eles só usam seus endereços de email de marca para enviar todos os emails marketing e de contato comercial.

5. Emails urgentes e indutores de pânico

A taxa média de abertura de endereços de email é de mai ou menos 17% e a taxa de cliques média dos links fornecidos no email é de 14%.

Se um hacker enviar um email não solicitado genérico para um pool de 2.000 alvos em potencial, cerca de 350 destinatários abrirão o email e 49 pessoas clicarão no link, desde que sejam enganados com sucesso.

Os golpistas estão bem familiarizados com essas estatísticas do setor e, como são um bando de pessoas gananciosas, desejam atingir o máximo de presas que puderem.

Portanto, eles criam mensagens de email urgentes ou que induzem ao pânico para gerar o máximo de cliques possível.

Para evitar tais ataques de phishing, é importante que você leia atentamente o email e julgue com calma se o que é exigido de você no email é razoável, verdadeiro ou não.


Como tomar medidas de proteção contra phishing

Agora que você sabe como identificar emails de phishing, é hora de aprender sobre as medidas de proteção preventivas de que você precisa para evitar ser vítima desse ataque cibernético hediondo, porém inteligente.

1. Aprenda como detectar phishing

As técnicas de detecção que mencionamos acima são claras o suficiente para ajudá-lo a identificar golpes de phishing a quilômetros de distância.

Tente aprender mais sobre como você pode farejar emails, mensagens ou ligações fraudulentas. Quanto mais conhecimento você acumular para detectar phishing, mais facilmente poderá evitá-lo.

2. Instale uma ferramenta antivírus eficiente

Às vezes, os emails fraudulentos são tão convincentes que não tem como evitar cair em suas armadilhas.

Muitas vezes, são os momentos de fraqueza que nos levam a essas armadilhas. Independentemente disso, uma boa ferramenta antivírus pode protegê-lo das piores consequências.

Como alguns emails de phishing contêm links maliciosos que baixam malware para o seu sistema, você pode impedir que o malware entre em seus discos rígidos com a ajuda de um software antivírus.

Essas ferramentas são continuamente atualizadas contra novos vírus e dados de malware que permitem proteger seu sistema contra ataques e invasões modernas.

3. Instale uma extensão de navegador anti-phishing

Uma barra de ferramentas anti-phishing ou extensão do navegador pode ser uma arma adicional contra o combate a golpes de phishing.

Esses complementos nas barras de ferramentas também são atualizadas regularmente para manter os usuários protegidos contra sites maliciosos ou redes de anúncios que fazem parte de grandes grupos de phishing.

4. Livre-se de janelas pop-ups e notificações

Os pop-ups e notificações sempre foram um incômodo para nossa experiência de navegação.

Eles machucam os olhos e distraem nossa atenção. Às vezes, os hackers sequestram até mesmo sites genuínos e os prendem com pop-ups maliciosos que visam atingir os visitantes.

Esses pop-ups de anúncios também levam você a sites maliciosos ou instalam malware automaticamente em seu sistema. Use bloqueadores de anúncios ou pop-up para impedir que seu navegador abra esses sites não solicitados.

5. Desconfie de eventos que atraem golpes

Desconfie dos eventos mais populares do mundo, pois eles também tendem a atrair cibercriminosos, o que acaba resultando em ataques de phishing e outras ameaças cibernéticas.

Considere, por exemplo, as épocas de eleições, black friday, datas comemorativas, Natal etc., em geral é quando os cibercriminosos se envolvem ativamente no envio de phishing para capturar e enganar suas vítimas.

Pratique uma navegação segura se desejar evitar que esses golpes tornem você uma presa. Não abra emails não solicitados.

Não clique em links em emails de desconhecidos. E não forneça suas informações pessoais como se estivesse ajudando uma instituição de caridade.

6. Use autenticação de dois fatores

A autenticação de dois fatores é uma das maneiras mais eficazes de combater muitas ameaças cibernéticas.

Uma vez que a autenticação de dois fatores solicita verificação dupla, torna-se difícil para os hackers ou golpistas passarem pelo processo para uma tentativa de hack bem sucedida.

Tente implementar a autenticação de dois fatores em todas as contas importantes que você possui, como contas bancárias, contas de email, serviços online, etc.

Nunca, jamais clique em qualquer link que você vê em qualquer email não solicitado.

Se necessário, verifique novamente os sinais reveladores de emails de phishing, como endereço de email incorreto, nome de domínio falsificado ou mensagem de email com erros gramaticais.

Se você for solicitado a acessar sua conta bancária ou qualquer conta de mídia social para atualizar seu perfil, basta ir diretamente para sua conta e fazer isso lá.

Em outras palavras, não clique no link do email.

Vá para um novo navegador, abra uma nova guia e digite o URL do site do banco diretamente. Se a solicitação for legítima, você verá um pop-up no site informando sobre esse fato.

Você também vai gostar:


O que fazer se você tiver sido fisgado no phishing

Se você acha que chegou tarde demais para detectar o phishing ou tomar qualquer medida preventiva contra ele e tiver sido phishing, aqui estão algumas etapas imediatas que você deve seguir:

  • Se você clicou em um link malicioso e acabou baixando malware, atualize imediatamente seu antivírus e execute-o para fazer uma varredura em seu sistema. Além disso, atualize o sistema operacional do seu sistema para corrigir quaisquer vulnerabilidades conhecidas.
  • Altere as credenciais de suas contas, como senhas, de um dispositivo diferente o mais rápido possível.
  • Faça todos os backups de seus dados e execute uma restauração do sistema para um backup anterior.

Resumo …

Então, o que é phishing? É um tipo de golpe em que o golpista se faz passar por uma pessoa ou entidade legítima para roubar seus dados confidenciais, o que pode resultar em roubo de identidade, chantagem e fraude, para citar alguns.

Como você pode se prevenir de phishing? Você pode fazer isso aprendendo sobre os diferentes tipos de phishing, como navegar com segurança e como identificá-los.

Phishing é uma ameaça global que já causou prejuízos de bilhões de dólares até o momento.

O que torna esse tipo de ataque online tão eficaz é que ele é direcionado para humanos; a tecnologia pode ser capaz de pará-lo, mas somos seres emocionais psicologicamente vulneráveis.

Portanto, seja proativo e atualize seu glossário para que você possa identificar e evitar golpes de phishing.