O que é phishing e como ele pode roubar dinheiro e segredos de você
Dicas De Tecnologia / / December 28, 2020
O que é phishing e quão perigoso é
Phishing é um tipo comum de fraude cibernética que visa comprometer contas registros e interceptação de controle sobre eles, roubo de dados de cartão de crédito ou qualquer outro confidencial em formação.
Na maioria das vezes, os cibercriminosos usam e-mail: por exemplo, eles enviam cartas em nome de uma empresa conhecida, atraindo usuários para seu site falso sob o pretexto de uma promoção lucrativa. A vítima não reconhece o falso, insere o nome de usuário e a senha de sua conta e, assim, o próprio usuário transfere os dados para os golpistas.
Qualquer um pode sofrer. Os e-mails de phishing automatizados geralmente são direcionados a um grande público (centenas de milhares ou até milhões de endereços), mas também existem ataques direcionados a um alvo específico. Na maioria das vezes, esses alvos são gerentes de alto escalão ou outros funcionários com acesso privilegiado aos dados corporativos. Essa estratégia de phishing personalizada é chamada de vailing (eng. caça às baleias), que se traduz como "captura de baleias".
As consequências dos ataques de phishing podem ser devastadoras. Os fraudadores podem ler sua correspondência pessoal, enviar mensagens de phishing para seu círculo de contatos, sacar dinheiro de contas bancárias e, geralmente, agir em seu nome de maneira ampla. Se você dirige uma empresa, o risco é ainda maior. Os phishers são capazes de roubar segredos corporativos, destruir arquivos confidenciais ou vazar dados de seus clientes, prejudicando a reputação da empresa.
De acordo com o relatórioRelatório de tendências de atividade de phishing Grupo de Trabalho Anti-Phishing, somente no último trimestre de 2019, especialistas em cibersegurança descobriram mais de 162 mil sites fraudulentos e 132 mil campanhas de e-mail. Durante esse tempo, cerca de mil empresas de todo o mundo foram vítimas de phishing. Resta saber quantos ataques não foram detectados.
Ivan Budylin
Arquiteto do Centro de Tecnologia Microsoft na Rússia.
É importante ser claro sobre você e comunicar algumas coisas aos seus colegas de trabalho, amigos e familiares. Primeiro, a indústria está contra nós. Os intrusos cibernéticos não são mais brincalhões entusiastas, mas profissionais experientes que, de uma forma ou de outra, querem ganhar dinheiro com você. Em segundo lugar, qualquer informação tem valor, mesmo que não pareça importante. E a sua atividade nas redes sociais e o apelido do seu gatinho favorito - tudo pode ser usado para monetização direta, ou como uma fase de ataque para obter acesso a mais "caro" dados. Terceiro, o uso de autenticação multifatorial e logins sem senha está gradualmente passando da categoria de recomendações fortes para a categoria de requisitos severos de uma realidade alterada.
Evolução e tipos de phishing
O termo "phishing" vem da palavra inglesa "fishing". Esse tipo de golpe realmente se assemelha à pesca: o invasor joga a isca na forma de uma mensagem ou link falso e espera que os usuários mordam.
Mas em inglês, phishing é escrito de forma um pouco diferente: phishing. O dígrafo ph é usado em vez da letra f. De acordo com uma versão, esta é uma referência à palavra falso ("enganador", "vigarista"). Por outro lado - para a subcultura dos primeiros hackers, que eram chamados de phreakers ("phreakers").
Acredita-se que o termo phishing foi usado pela primeira vez publicamente em meados da década de 1990 nos grupos de notícias da Usenet. Naquela época, os golpistas lançaram os primeiros ataques de phishing visando clientes do provedor de Internet americano AOL. Os invasores enviaram mensagens pedindo para confirmar as credenciais, se passando por funcionários da empresa.
Com o desenvolvimento da Internet, surgiram novos tipos de ataques de phishing. Os fraudadores começaram a falsificar sites inteiros e a dominar vários canais e serviços de comunicação. Hoje, esses tipos de phishing podem ser distinguidos.
- Phishing de e-mail. Os fraudadores registram um endereço de correspondência semelhante ao endereço de uma empresa conhecida ou de um conhecido da vítima selecionada e enviam cartas a partir dele. Ao mesmo tempo, pelo nome do remetente, design e conteúdo, uma carta falsa pode ser quase idêntica ao original. Somente lá dentro há um link para um site falso, anexos infectados ou uma solicitação direta para enviar dados confidenciais.
- Phishing de SMS (smishing). Este esquema é semelhante ao anterior, mas é usado SMS em vez de e-mail. O assinante recebe uma mensagem de um número desconhecido (geralmente curto) com uma solicitação de dados confidenciais ou com um link para um site falso. Por exemplo, um invasor pode se apresentar como um banco e solicitar o código de verificação que você recebeu antes. Na verdade, os golpistas precisam do código para invadir sua conta bancária.
- Phishing de mídia social. Com a proliferação de mensagens instantâneas e mídias sociais, os ataques de phishing também inundaram esses canais. Os invasores podem entrar em contato com você por meio de contas falsas ou comprometidas de organizações conhecidas ou de seus amigos. O resto do princípio de ataque não difere dos anteriores.
- Phishing de telefone (vishing). Os golpistas não estão limitados a mensagens de texto e podem ligar para você. Na maioria das vezes, a telefonia pela Internet (VoIP) é usada para essa finalidade. O chamador pode se passar por um funcionário do serviço de suporte do seu sistema de pagamento e solicitar dados para acessar a carteira - supostamente para verificação.
- Pesquisar phishing. Você pode encontrar phishing diretamente nos resultados da pesquisa. Basta clicar no link que leva a um site falso e deixar dados pessoais nele.
- Phishing pop-up. Os invasores costumam usar pop-ups. Visitando um recurso duvidoso, você pode ver um banner que promete algum benefício - por exemplo, descontos ou produtos gratuitos - em nome de uma empresa conhecida. Ao clicar neste link, você será levado a um site controlado por cibercriminosos.
- Agricultura. Não está diretamente relacionado ao phishing, mas a agricultura também é um ataque muito comum. Nesse caso, o invasor falsifica os dados DNS redirecionando automaticamente o usuário em vez dos sites originais para os sites falsos. A vítima não vê nenhuma mensagem ou banner suspeito, o que aumenta a eficácia do ataque.
O phishing continua a evoluir. A Microsoft falou sobre novas técnicas que seu serviço anti-phishing de Proteção Avançada contra Ameaças do Office 365 descobriu em 2019. Por exemplo, os golpistas aprenderam a disfarçar melhor o conteúdo malicioso nos resultados da pesquisa: para o topo exibir links legítimos que levam o usuário a sites de phishing usando vários redireciona.
Além disso, os cibercriminosos começaram a gerar automaticamente links de phishing e cópias exatas de eletrônicos cartas em um nível qualitativamente novo, o que permite que você engane os usuários de forma mais eficaz e contorne fundos proteção.
Conheça o Office 365
Como se proteger de phishing
Melhore seu conhecimento técnico. Como se costuma dizer, aquele que é avisado está armado. Estude a segurança da informação por conta própria ou consulte especialistas para obter conselhos. Mesmo um simples conhecimento das noções básicas de higiene digital pode poupar muitos problemas.
Seja cuidadoso. Não siga links ou abra anexos em cartas de interlocutores desconhecidos. Verifique cuidadosamente os detalhes de contato dos remetentes e os endereços dos sites que você visita. Não responda a solicitações de informações pessoais, mesmo quando a mensagem parecer confiável. Se um representante da empresa solicitar informações, é melhor ligar para o call center e relatar a situação. Não clique em pop-ups.
Use as senhas com sabedoria. Use uma senha única e forte para cada conta. Assine serviços que avisem os usuários se as senhas de suas contas aparecerem na Web e altere imediatamente o código de acesso se ele estiver comprometido.
Configure a autenticação multifator. Esse recurso adicionalmente protege a conta, por exemplo, usando senhas de uso único. Nesse caso, toda vez que você entrar em sua conta de um novo dispositivo, além da senha, você terá que digite um código de quatro ou seis caracteres enviado a você via SMS ou gerado em um especial inscrição. Pode não parecer muito conveniente, mas essa abordagem o protegerá de 99% dos ataques comuns. Afinal, se os fraudadores roubam a senha, eles ainda não podem entrar sem um código de verificação.
Use recursos de login sem senha. Nesses serviços, sempre que possível, você deve abandonar completamente o uso de senhas, substituindo-as por chaves de segurança de hardware ou autenticação por meio de um aplicativo em um smartphone.
Use um software antivírus. Um antivírus atualizado em tempo útil ajudará a proteger seu computador de programas maliciosos que redirecionam para sites de phishing ou roubam logins e senhas. Mas lembre-se de que sua principal proteção ainda é a conformidade com as regras de higiene digital e a adesão às recomendações de segurança cibernética.
Se você dirige um negócio
As dicas a seguir também serão úteis para proprietários de empresas e CEOs.
Treine seus funcionários. Explique aos subordinados quais mensagens devem ser evitadas e quais informações não devem ser enviadas por e-mail e outros canais de comunicação. Proibir os funcionários de usar o correio corporativo para fins pessoais. Instrua-os sobre como trabalhar com senhas. Também vale a pena considerar uma política de retenção de mensagens: por exemplo, para fins de segurança, você pode excluir mensagens anteriores a um determinado período.
Conduza ataques de phishing educacionais. Se você quiser testar a reação dos funcionários ao phishing, tente fingir um ataque. Por exemplo, registre um endereço de correspondência semelhante ao seu e envie cartas a seus subordinados pedindo que forneçam dados confidenciais.
Escolha um serviço postal confiável. Os provedores de e-mail gratuitos são muito vulneráveis às comunicações comerciais. As empresas devem escolher apenas serviços corporativos seguros. Por exemplo, os usuários do serviço de email Microsoft Exchange incluído no pacote Office 365 têm proteção abrangente contra phishing e outras ameaças. Para combater os golpistas, a Microsoft analisa centenas de bilhões de e-mails todos os meses.
Contrate um especialista em segurança cibernética. Se seu orçamento permitir, encontre um profissional qualificado que fornecerá proteção contínua contra phishing e outras ameaças cibernéticas.
O que fazer se você for vítima de phishing
Se houver alguma razão para acreditar que seus dados caíram em mãos erradas, aja imediatamente. Verifique se há vírus em seus dispositivos e altere as senhas das contas. Informe a equipe do banco que seus detalhes de pagamento podem ter sido roubados. Se necessário, informe os clientes sobre o vazamento potencial.
Para evitar a recorrência de tais situações, escolha serviços de colaboração confiáveis e modernos. Os produtos com mecanismos de proteção integrados são os mais adequados: funcionará da forma mais conveniente possível e você não terá que arriscar a segurança digital.
Além disso, o serviço oferece controle de acesso dinâmico com avaliação de risco e levando em consideração uma ampla gama de condições. O Office 365 também contém automação integrada e análise de dados, e também permite que você controle dispositivos e proteja informações contra vazamento.
Experimente o Microsoft Office 365