Início Segurança Phishing! O que é? Como evitar?

Phishing! O que é? Como evitar?

por WebDig.PT
Phishing! O que é? Como evitar?

Phishing é quando alguém está a tentar enganá-lo(a) no sentido de obter as suas informações pessoais através da internet ou levá-lo(a) a exercer ações com o objetivo de o burlar de alguma forma.

Os emails de phishing aparentam ser válidos e de remetentes confiáveis. O objetivo é tentar que os utilizadores procedam à abertura do(s) anexos ou que cliquem num link para depois tentarem obter a sua informação.

Por norma, o phishing é efetuado através de email, anúncios ou de websites que têm um aspeto semelhante aos das empresas ou negócios pelos quais estão a tentar fazer-se passar.

Tenha em consideração que os emails ou websites utilizados para phishing, poderão solicitar-lhe dados como:

  • Nomes de Utilizador e Passwords, e até mesmo a alteração de passwords;
  • Números de Segurança Social, Cartão de Cidadão;
  • Número da Conta Bancária e dos cartões de crédito;
  • Email;
  • entre outras informações pessoais.

Ataques não param de crescer

Os ataques de phishing não mostram nenhum sinal de desaceleração. De acordo com o Relatório de Tendências e Inteligência de Phishing de 2019, o PhishLabs constatou que o volume total de phishing aumentou 40,9% ao longo de 2018.

Esses ataques atingiram várias organizações, especialmente empresas de serviços financeiros, fornecedores de serviços de email e empresas de alojamento.

Portanto, não é de surpreender que o Relatório de investigações de Violação de Dados (DBIR) de 2019 da Verizon tenha considerado o phishing a principal variedade de ações de ameaças em todas as violações analisadas durante o período do relatório.

O crescimento de ataques de phishing representa uma ameaça significativa para todos nós, desde a nossa vida privada e particular, à vida profissional e às empresas onde e com quem trabalhamos.

É importante que todos saibamos como identificar alguns dos golpes de phishing mais comuns para proteger suas informações corporativas.

Tipos de Phishing

  • Phishing: Utilizado para obtenção de dados pessoais em que os hackers fazem passar-se por entidades conhecidas/credíveis (bancos, seguradoras) para obter acesso às suas contas. Através de fazerem o utilizador ter urgência em resolver algo, como resolver uma discrepância no saldo bancário ou conta paypal, utilizando um email em todo o aspecto igual ao oficial da entidade visada, com um link “original”, mas que redirecciona para outro site;
  • Phishing por ransomware: Aqui, os utilizadores recebem um link, em que ao clicarem, instalam um malware no computador, por norma, sob a forma de ransomware. Este, irá bloquear o computador, somente o desbloqueando se o utilizador pagar uma determinada quantia. Se o pagamento não for realizado, os dados poderão chegar a ser apagados ou publicados sem consentimento;
  • Smishing: É enviada uma SMS ou uma MMS, onde são por exemplo, oferecidos prémios ou a solicitar a confirmação de algum tipo de vinculo com uma empresa credível. A mensagem contém link e ao clicar no mesmo é reencaminhado para uma página onde é solicitado o preenchimento de dados pessoais, como cartão de crédito ou outros;
  • Vishing: O email enviado, neste caso, incita o utilizador a contactar a entidade pela qual os hackers tentam fazer-se passar, mas neste caso, por telefone.  Aquando da chamada, o utilizador é inquirido por um atendedor automático, que solicita diversos dados pessoais para proceder a uma suposta verificação de segurança;
  • Spear Fishing: É um ataque de phishing, mas mais perigoso, pois é direcionado, pois é focado numa pessoa, grupo ou organização específica.É executado após um processo de pesquisa sobre o alvo em questão e pretende fazer com que esse mesmo alvo empreenda uma ação contra seus próprios interesses (como clicar num link, fazer o download de um ficheiro malicioso ou até realizar transferências bancárias).Por norma, neste tipo de ataque, o hacker faz-se passar por uma fonte de confiança do alvo – através de um endereço de e-mail conhecido ou por uma página online com a qual a vítima tem por hábito interagir. Os alvos mais comuns de spear phishing são os funcionários ou equipas com níveis de acesso elevados a informação empresarial confidencial.
  • BEC ou Fraude do CEO: O BEC (Business Email Compromise) é uma fraude avançada e uma das principais ameaças a empresas e e-mails profissionais e funciona da seguinte maneira: alguém se faz passar por um funcionário, diretor, executivo ou até mesmo o CEO da empresa para obter dinheiro ou roubar informações confidenciais. O hacker tenta atrair e induzir funcionários, parceiros e clientes a tomar alguma ação específica, como o pagamento de uma conta falsa via transferência bancária. Em alguns casos, o hacker compromete uma conta de e-mail profissional, enquanto, noutros, simplesmente cria um endereço de e-mail semelhante, parecido com o original. Seguidamente falsifica e personifica a identidade do proprietário do e-mail. Como regra geral, os golpes de BEC envolvem malware e engenharia social, porque antes de colocar a fraude em prática, os hackers fazem um estudo aprofundado das suas vítimas, pesquisas em websites e em redes sociais para entender o perfil do executivo, da empresa e de quem mais for alvo da fraude, como funcionários e parceiros. O objetivo é construir o golpe mais convincente possível, chegando a fazer-se passar por advogados representantes da empresa visada. O malware também é utilizado porque, em muitos casos, os e-mails de BEC induzem as vítimas a clicar em links e anexos maliciosos. Frequentemente, o clique leva ao download de um malware, que permitirá ao hacker aceder ao dispositivo da vítima e até obter controle sobre ele.
  • Pharming: Alguns hackers estão a abandonar a ideia de “atacar” suas vítimas completamente, pois os utilizadores estão cada vez mais atentos a este problema. Por isso, os hackers estão a recorrer ao pharming. Este método de phishing utiliza o “envenenamento” da cache contra o sistema de nomes de domínio (DNS), um sistema de nomes usado pela Internet para converter nomes alfabéticos de sites, como “www.microsoft.com”, em endereços IP numéricos. Sob um ataque de “envenenamento” da cache DNS, o hacker direciona um servidor DNS e altera o endereço IP associado ao nome do site. Significa que um hacker pode redirecionar os utilizadores para um site malicioso à sua escolha. Neste caso, acontece mesmo que a vítima digite o nome correto do site.

Phishing! O que é? Como evitar?

Como validar se é um email de Phishing

  1. Para verificar se o email recebido é credível, deverá confirmar se o domínio do remetente da mensagem  a partir do qual recebeu a comunicação, é realmente da empresa ou entidade em questão, deverá prestar especial atenção a troca de letras (wedbig.pt em vez de webdig.pt, por exemplo);
  2. Deverá confirmar também se o link para o qual o reencaminham corresponde ao do Website oficial.  Verifique no seu browser, se o endereço/domínio é o mesmo;
  3. Verifique se a ligação utilizada pelo website é segura (https://)
  4. Identifique o estilo de comunicação e se existem erros gramaticais e ortográficos no corpo de email. Um estilo diferente do habitual e a existência de erros poderão ser sinal de que o mesmo não foi, de facto, enviado pela empresa pela qual se fazem passar;
  5. As imagens ou anexos, eventualmente, contidos na comunicação, por norma, são de baixa qualidade, e são cópias/réplicas de menor qualidade face às das empresas oficiais;
  6. Caso tenha dúvidas, contacte a entidade em causa, sem clicar ou ceder dados, via email ou website.

Como evitar ataques de Phishing

Quando recebe um email de um website que está a solicitar  o envio de informações pessoais ou até mesmo pagamentos, tem de agir com toda a prudência. Caso receba este tipo de email, não deverá:

  1. clicar em nenhum link enviado no corpo de email;
  2. fornecer os seus dados pessoais, sem confirmar se o remetente de email está correto;
  3. fornecer password(s);
  4. abrir os anexos que possa conter.

Deverá ainda suspeitar que se trata de phishing em casos em que lhe é solicitado que clique num shortner URL, como por exemplo, tiny.cc, bilty.com, goo.gl, entre outros.

Esteja atento, siga as dicas acima referidas para confirmar que o email rececionado não se trata de um esquema de phishing e se ainda lhe restarem dúvidas, contacte a entidade em causa, sem clicar ou ceder dados, via email, sms, telefone ou website.

No entanto e por mais atentos que estejamos, inevitavelmente, podemos baixar a guarda e ser tentados a clicar num link não seguro. No entanto existem várias ferramentas de classificação de segurança disponíveis e cujas extensões podem ser instaladas nos browsers:

Estes serviços recolhem relatórios sobre sites suspeitos e classificam-nos, mas não conseguem “perceber” todos os links, mas podem ser uma boa primeira linha de defesa.

A Google disponibiliza um site para verificação, incluído no seu relatório de transparência, de navegação segura e que pode ser consultado aqui e outra página onde podemos reportar sites para os quais somos redireccionados no caso phishing.

Em todos os sites que solicitem a Password de Autenticação Forte ou Password de Dois Passos, a mesma deve ser ativada, pois a mesma devidamente configurada, permite obter um código, alguns deles que possuem uma validade inferior a um minuto, a mesma deve ser ativada.

Phishing! O que é? Como evitar?

A nossa segurança começa nas nossas atitudes, por isso, temos de ser nós a dar os primeiros passos para fazer diminuir o sucesso dos ataques de phishing.

Artigos Relacionados

Deixe um comentário

* Ao usar este formulário, concorda com o armazenamento e o manuseio dos seus dados por este site.

O nosso website utiliza cookies para melhorar e personalizar a sua experiência de navegação. Ao continuar a navegar está a consentir a utilização de cookies. Aceitar Saiba Mais