Ataque de Phishing: O guia completo sobre o assunto

Você já conhece o ataque phishing? Já parou para pensar em como sua empresa pode estar vulnerável a sofrer com esse tipo de crime cibernético?

O phishing é um dos golpes virtuais que mais atinge os usuários e empresas em todo o mundo.

Segundo o Panorama de Ameaças 2021 da Kaspersky, o Brasil é o país com maior proporção de usuários atacados de toda a América Latina.

O ranking ainda revela um aumento de 23% no número de ciberataques em comparação com o ano anterior.

Em meio a esse cenário, torna-se cada vez mais importante que empresas trabalhem para identificar e combater quaisquer tipos de ameaças.

Quer entender mais sobre como funciona o ataque phishing e como proteger as informações da sua empresa contra ele? Acompanhe a leitura!

O que é um ataque de phishing?

O ataque phishing é um tipo de crime cibernético que se utiliza de informações falsas para manipular usuários e coletar seus dados confidenciais.

Derivado de “fishing” (pescar, em inglês), o termo representa o uso de “iscas” para fisgar vítimas na internet e “pescar” suas informações.

Já o ph em “phishing” vem de “phreaking”, uso indevido de linhas telefônicas para a execução de experimentos.

De modo geral, os dados apresentados no ataque de phishing são bastante atraentes. Eles podem ser enviados através de meios variados, como:

E-mail;
SMS;
Telefone;
Sites;
Aplicativos.

De primeira, o contato parece genuíno, oferecendo uma oportunidade irresistível ao usuário, que precisa fornecer alguns dados para aproveitá-la.

Ao serem manipuladas, muitas pessoas acabam compartilhando dados bancários, senhas e outras informações confidenciais.

E como consequência disso, sofrem com problemas como: violação de cartões de crédito, invasão de contas bancárias e até crimes de falsa identidade.

Atualmente, o phishing tem se desenvolvido e se tornado cada vez mais poderoso e camuflado, com sites projetados para o roubo de dados pessoais.

Em muitos casos, basta que o usuário abra um link para que o cibercriminoso tenha acesso a todas as informações que deseja.

Na busca por vítimas, os golpistas enviam milhões de mensagens por dia. De acordo com o Anti-Phishing Working Group, entre os milhões de contatos, é possível obter um sucesso de mais de 5%.

Como funciona um ataque de phishing?

O funcionamento dos ataques de phishing costuma se dividir em seis etapas, que são:

Planejamento;
Preparação;
Ataque (envio de mensagens);
Coleta;
Fraude;
Pós-ataque.

No planejamento, os criminosos escolhem quais serão os alvos do ataque e definem seu objetivo, como a obtenção de dados pessoais, ou invasão de contas bancárias, por exemplo.

Nesse mesmo momento, também é determinado o meio pelo qual as mensagens serão enviadas.

Com isso feito, chega a hora da preparação, em que os fraudadores desenvolvem o material que servirá como “isca” para as vítimas.

São criados sites, e-mails, mensagens e todos os links utilizados para persuadir e manipular usuários inexperientes.

No momento do ataque, as mensagens elaboradas são enviadas em massa, seja por e-mail, sites, VoIP, aplicativos de mensagens ou malwares.

Já na etapa seguinte, de coleta, os dados obtidos são reunidos, verificados e usados para a constatação do crime, na etapa de fraude.

Em posse das informações confidenciais, os golpistas chegam a acessar contas, criar novas identidades, roubar dinheiro e realizar compras.

Por fim, no pós-ataque, um cracker (indivíduo com alto conhecimento em tecnologia da informação) destrói as evidências do cibercrime.

Assim, dificultando a realização e conclusão de investigações posteriores.

Quais são os tipos de phishing?

Para se aprofundar e conseguir se proteger corretamente, é importante entender quais são os diferentes tipos de phishing;

Afinal, existe uma ampla variedade de truques usados para conquistar a confiança de indivíduos e coletar suas informações.

Sendo assim, confira abaixo quais são os principais tipos de ataque phishing e aprenda como se defender contra eles:

Scam

O golpe de phishing scam consiste na tentativa de induzir pessoas a fornecer informações financeiras, como números de cartões e senhas de contas bancárias.

Para isso, os golpistas se passam por representantes de instituições conhecidas, muitas vezes solicitando uma simples confirmação de segurança.

Quando por mensagens, redes sociais ou e-mail, o scam pode incorporar toda a identidade visual de uma determinada empresa.

Já por telefone, os criminosos sempre utilizam a linguagem formal e pausada, comum a de colaboradores reais do setor de atendimento ao cliente.

Por conta disso, a identificação da fraude por parte dos usuários acaba sendo um pouco mais difícil.

Blind Phishing

O blind phishing é considerado o tipo mais comum de phishing. É nessa modalidade onde há o disparo em massa de mensagens via email.

Nesse caso, os criminosos contam com a “sorte” para que algum usuário ingênuo caia na armadilha e o golpe seja iniciado.

Por não envolver a criação de estratégias, o blind phishing costuma ser mais fácil de ser identificado.

Muitas vezes, esse ciberataque acaba sendo confundido com o spam e, por conta disso, sendo ignorado automaticamente.

Spear phishing

O spear ocorre quando os chamados “phishers” direcionam e personalizam seus ataques para um grupo específico de indivíduos.

Nesse sentido, é possível encontrar o spear phishing voltado para funcionários do governo ou de uma empresa ou profissionais de uma determinada área, por exemplo.

O objetivo é sempre utilizar informações mais específicas para envolver o usuário e conseguir obter determinados dados sigilosos.

Clone phishing

Neste golpe, os invasores se utilizam de um e-mail ou site legítimo para fazer sua clonagem e atrair usuários.

A única diferença no conteúdo é que, nesse caso, os links comuns são substituídos por links maliciosos.

Em geral, ao acessar os sites falsos, o usuário precisa inserir suas informações cadastrais em um formulário que as repassa para os criminosos.

Em seguida, a pessoa é direcionada de volta para a página original e continua a navegar sem imaginar que foi vítima de um crime virtual.

Whaling

No whaling, o objetivo é praticamente o mesmo do spear phishing.

Porém, nesse caso, os alvos costumam ser bastante pretensiosos, como grandes executivos ou personalidades da mídia.

O termo vem da palavra “whale” (baleia, em inglês), e se refere ao ato de caçar baleias, que possuem um grande tamanho e, consequentemente, maior valor.

É comum que ataques de whaling sejam camuflados como notificações empresariais ou intimações judiciais.

Vishing

O vishing, abreviação para “phishing de voz”, é um tipo de ataque que utiliza o áudio (ou telefone) para convencer as vítimas a divulgar suas informações.

A ação criminosa pode ser acompanhada de um SMS que solicita que a pessoa ligue para determinado número para solucionar um falso problema indicado.

Mas em geral, o vishing envolve chamadas automatizadas (algumas com uso de VoIP) direto para residências ou números pessoais.

Pharming

Os ataques de pharming acontecem quando ocorre o envenenamento do DNS, sistema que traduz os números de IPs em nomes de domínio.

Com o problema instaurado, é possível que o usuário seja redirecionado automaticamente de um site legítimo para uma versão clonada.

Na prática, com o DNS comprometido, mesmo que a URL correta de uma página seja utilizada, é possível que o acesso seja em sua versão falsa, criada para o roubo de dados.

Smishing

O phishing via SMS é chamado de smishing.

Nele, o usuário recebe uma mensagem de texto que solicita o clique em um link ou download de algum aplicativo.

Ao fazer isso, o que acontece de verdade é o download de um malware no celular, que poderá roubar informações pessoais e enviá-las para criminosos.

As mensagens de smishing costumam envolver a cobrança de dívidas e também o oferecimento de ofertas ou prêmios “irrecusáveis”.

Como identificar um ataque de phishing?

Com tantos tipos de ataque de phishing existentes, como saber se o contato que você ou seus colaboradores receberam é verdadeiro ou não?

Em geral, algumas questões podem ser consideradas ou avaliadas antes que dados importantes sejam entregues para indivíduos maliciosos.

Em primeiro lugar, quando as ofertas ou oportunidades são vantajosas além do normal, é válido desconfiar.

Afinal de contas, se “dinheiro não cai do céu”, não teria como ser normal receber um grande prêmio aleatoriamente, apenas confirmando algumas informações, concorda?

Se algo se mostra fácil demais, repense antes de clicar em links ou responder perguntas comprometedoras.

Outro ponto característico de ataques de phishing é o enorme senso de urgência no tom das mensagens.

Em praticamente todos os casos, o que os criminosos mais querem é que você tome uma atitude de forma impulsiva.

Quando isso acontecer, ignore a mensagem e aguarde um possível novo contato por vias mais confiáveis.

Vale ressaltar que o uso de ameaças, como de suspensão de conta ou benefícios, também são bastante comuns no phishing.

Para verificar se o que está sendo dito é verdadeiro, o melhor caminho é entrar em contato diretamente com a instituição citada.

Quando a empresa é séria, até mesmo prazos curtos para a regularização do cliente podem ser mais flexíveis.

Atenção com e-mails

Ao receber e-mails desconhecidos, é importante estar atento aos links e anexos presentes na mensagem.

É comum que criminosos façam a clonagem destes e-mails para o envio de falsos comprovantes e boletos, por exemplo.

Na dúvida, vale a pena verificar o remetente checando não só o seu nome, mas também o endereço de e-mail que foi utilizado para o envio da mensagem.

Se ele for diferente do utilizado em outros contatos da instituição, apague-o imediatamente e bloqueie o usuário.

Qual é a diferença entre phishing e spam?

Quando se fala em disparos de e-mail em massa, é comum que o phishing seja confundido com o spam.

No entanto, a principal diferença entre um e outro é que o spam, apesar de incomodar, não possui a intenção de prejudicar um indivíduo.

Na prática, ele é apenas um conjunto de anúncios e mensagens indesejadas, acumulados como forma de lixo eletrônico.

Já o phishing, como visto acima, tem como objetivo principal o roubo de dados e utilização para a realização de ainda mais crimes, como roubos e invasões.

Quais são as consequências de um ataque de phishing?

Seja por redes sociais, SMS, e-mail ou qualquer outro vetor, os ataques de phishing costumam promover as mesmas consequências.

Após convencer o usuário a compartilhar seus dados e ter essas informações confidenciais em mãos, os golpistas podem:

Iniciar espionagens;
Roubar identidades;
Transferir dinheiro;
Invadir contas pessoais e bancárias;
Instalar malwares para roubo de arquivos.

O resultado disso são grandes prejuízos financeiros, emocionais e até mesmo na reputação.

Um exemplo conhecido e que pode ajudar a entender melhor as consequências de um ataque de phishing foi o ocorrido com a Target, em 2013.

A rede de varejo sofreu uma violação de dados perto da Black Friday, que fez com que hackers acessassem os leitores de cartão de uma loja.

Surpreendentemente, o enorme ataque foi iniciado após a abertura de um “simples” e-mail de phishing, enviado a um dos fornecedores da empresa.

Quando finalizado, o golpe resultou no roubo de centenas de dados de cartões de crédito e débito.

Consequentemente, causando um prejuízo de mais de US$18,5 milhões à empresa com acordos judiciais.

Isso sem contar com os danos de ter sua reputação comprometida para os clientes.

O que fazer em caso de ataque de phishing?

A primeira coisa a fazer se você perceber que foi vítima de um ataque de phishing é reportar o crime para as autoridades.

É importante levar o caso para uma delegacia de crimes virtuais junto com prints e o próprio dispositivo onde houve o acesso malicioso.

Assim, permitindo que uma investigação possa ser iniciada para combater a ação criminosa.

Até que o problema seja resolvido, é importante que o dispositivo seja desconectado da rede da internet.

Desse modo, evitando a propagação ainda maior de um possível malware instalado, por exemplo.

Também pode ser interessante utilizar uma solução antivírus ou antimalware instalada na máquina ou rede da empresa.

Por fim, não esqueça de atualizar senhas de contas bancárias, mídias sociais ou qualquer outra coisa que possa ser acessada com os dados fornecidos.

Ah, e se você ainda não fez um backup dos arquivos utilizados, o melhor momento para isso é agora.

Isso porque, em alguns casos, só é possível recuperar o que foi infectado ou roubado com a restauração dos arquivos em nuvem.

Como proteger sua empresa de ataque de phishing?

Existem alguns cuidados que ajudam a evitar que ataques virtuais possam atingir empresas e seus dispositivos.

Ao lerem e-mails, é importante que os colaboradores não acessem mensagens enviadas por destinatários desconhecidos.

Além disso, pedidos inesperados de download de arquivos também podem ser evitados para diminuir o risco de golpe.

Certifique-se de que o sistema operacional dos computadores está atualizado e com programas antivírus instalados.

Em meio a tantas formas de sofrer um phishing, mais importante do que qualquer outro passo é possuir um bom software de segurança para a rede organizacional.

Essas soluções oferecem uma defesa completa tanto contra o phishing como contra qualquer outro tipo de ameaça inserida no contexto da empresa.

A melhor parte é que, ao invés de colocar toda a proteção do seu negócio nas mãos de humanos suscetíveis ao erro, você também recebe o apoio da tecnologia.

Portanto, é sim válido investir em programas educacionais para ensinar funcionários sobre a gestão de vulnerabilidades.

Mas, aliado a isso, sua empresa pode contar com a Vantix para garantir a privacidade de dados.

Com nosso serviço de Smart Assessment, você tem muito menos trabalho para identificar falhas de segurança e se proteger corretamente dos riscos virtuais.

Precisa de ajuda para manter sua empresa segura contra ameaças como o ataque de phishing?

Conheça a solução de Smart Assessment da Vantix!