Você já recebeu um e-mail urgente de uma instituição financeira pedindo para confirmar credenciais, alertando para falhas de segurança ou até solicitando a alteração imediata da sua senha? Se sim, é provável que você ou sua empresa tenha sido alvo de um ataque denominado phishing.
O phishing é uma das táticas mais comuns e perigosas, usadas para enganar pessoas e obter informações confidenciais.
Para te ajudar a evitar dores de cabeça e acelerar a proteção dos seus dados, vamos explicar mais sobre essa ameaça cibernética, citar alguns dos exemplos e fornecer dicas valiosas. Vamos começar?
O que é Phishing?
Phishing é um crime cibernético que consiste em enganar usuários para que eles compartilhem informações confidenciais. A origem do nome “phishing” pode vir de “fishing” (pesca) e “phone” (telefone), onde em meados de 1970, havia uma prática constante de usar hacks de pouca tecnologia no sistema de telefonia.
Nos anos 2000, focou em sistemas de pagamento online, bancos e clientes. Assim, posteriormente, os sites e redes sociais viraram alvo, já que as informações que entregam são úteis para os hackers.
Como funciona?
O ataque de phishing funciona como em uma verdadeira pescaria, já que usuários mal-intencionados tentam fisgar uma vítima ao mandar um e-mail ou mensagem que imita entidades ou fontes confiáveis, como conhecidos, uma instituição ou até o banco, fingindo legitimidade.
É preparada uma isca para enganar a vítima, esperando que a isca seja mordida. A mensagem pode até conter imitações de sites confiáveis, exigindo que a vítima responda com dados importantes. Dessa forma, tenta roubar dinheiro, informações e senhas.
A técnica geralmente cria um senso de urgência para que a vítima responda imediatamente. E, diferente de outros tipos de ameaças, não requer um conhecimento especializado tão grande por parte de quem ataca.
Quais são as 5 etapas do phishing
O processo de phishing geralmente envolve cinco etapas principais.
1. Planejamento
No planejamento, os criminosos definem o público-alvo e o objetivo do ataque cibernético. Eles irão idealizar a fraude para obter os dados que desejam, como criação de um site idêntico ao legítimo, estelionato, roubo, formatos de e-mails e mensagens, mídia social, serviço e mais.
2. Preparação
Os hackers começam a preparação do material que servirá como isca, em formato de textos, um design ou site, por exemplo. O conteúdo geralmente cria um senso de urgência para persuadir a vítima, incentivando ações imediatas para resolver o problema.
3. Ataque
Agora, o material está pronto, e os cibercriminosos podem enviar as mensagens que foram geradas especialmente para cometer o ataque. Como você viu, o envio pode ser feito em muitos formatos. Podem, inclusive, ganhar a confiança da vítima, fazendo ela acreditar que está interagindo com uma entidade confiável.
4. Coleta
Quando a vítima clica no link fornecido na mensagem, ela é redirecionada para o site falso. Lá, é solicitado que ela insira as suas credenciais de login ou outras informações sensíveis. Acontece a coleta dos dados para serem usados no crime.
5. Fraude
Assim, os cibercriminosos usam os dados para fins mal-intencionados, como roubo de identidade ou fraude financeira. Eles podem acessar a conta bancária da vítima, fazer compras com o cartão de crédito ou até roubar a identidade.
Quais são os tipos mais comuns de phishing?
Abaixo estão alguns dos tipos de ataques de phishing.
E-mails
O tipo mais comum de phishing, onde os criminosos enviam um e-mail que parece ser de uma organização legítima solicitando que atualize dados ou resolva questões.
Exemplo:
“De: Banco XYZ [support@bancoxyz.com]
Assunto: Ação Urgente Necessária
Caro cliente,
Detectamos atividades suspeitas na sua conta. Clique [aqui] para verificar a sua conta.”
Smishing ou phishing via SMS
Similar ao e-mail de phishing, o smishing é realizado através de mensagens SMS.
Exemplo:
“Seu banco: Detectamos atividades suspeitas na sua conta. Clique no link para verificar: http://exemplodebanco.com”
Vishing
Neste tipo de ataque, o cibercriminoso liga para a vítima e se passa por um representante de uma organização. Exemplo de script: “Olá, eu sou gerente do seu banco e estamos detectando atividades suspeitas em sua conta. Podemos confirmar alguns detalhes?”
Phishing de mídia social
Os criminosos criam perfis falsos ou páginas em plataformas de mídia social para enganar os usuários e coletar as suas informações.
Você pode, por exemplo, receber uma mensagem direta de um de seus contatos no Facebook com um simples "Ei, você precisa ver isso!". Pode receber links enganosos ou entrar numa página falsa de rede social, fazendo login e entregando os seus dados.
Spear phishing
Este ataque de spear phishing é personalizado para parecer mais autêntico, geralmente usando informações que são específicas para o destinatário.
O cibercriminoso pode, por exemplo, enviar um e-mail para um funcionário da Empresa X disfarçado para parecer que veio do novo provedor de serviços de TI. Assim, pede credenciais que posteriormente serão usadas para fraudes.
Como se proteger de e-mail de phishing no ambiente corporativo?
Agora, vamos apresentar algumas dicas que podem te ajudar a identificar um ataque e proteger os seus dados.
Verifique o endereço do remetente
Muitas vezes, os e-mails de phishing vêm de endereços que tentam imitar os endereços legítimos, mas apresentam pequenas diferenças. Sempre verifique antes de responder ou clicar em links.
Analise o conteúdo
O conteúdo pode dar pistas de que é caso de phishing. Erros, uso estranho de capitalização ou pontuação, ou uma urgência incomum são sinais de alerta. E, se o link parece suspeito, é melhor evitar cliques, e identificar se a URL é a mesma da entidade confiável.
Cuidado com links suspeitos
Se você receber um e-mail com um link, passe o mouse sobre o link sem clicar nele. Isso permitirá que você veja a URL real. Se a URL parecer suspeita, é melhor não clicar.
Pedidos de informações pessoais
Empresas legítimas geralmente não solicitam informações sensíveis por e-mail. Se um e-mail estiver pedindo suas informações, é provável que seja um caso de phishing.
Verifique a saudação
Os e-mails de phishing podem começar com uma saudação genérica, como "Caro Cliente", em vez de usar o seu nome.
Anexos não solicitados
Tenha cuidado com e-mails que incluem anexos que você não esperava. Eles podem conter malware, ransomware ou outra ameaça online.
Se estiver em dúvida, é melhor excluir o e-mail ou, se parece que a mensagem vem de um serviço que você usa, entre em contato com eles para verificar a situação, confirmando se a mensagem é válida.
Proteger-se contra e-mails de phishing no ambiente corporativo requer uma abordagem combinada, incluindo toda a equipe. Então, realize treinamentos em segurança cibernética regularmente para educar os colaboradores sobre o que é phishing, como identificar e como se proteger.
Confira o nosso e-book "Guia definitivo sobre Políticas de Segurança"!
Conte com as práticas de segurança do Zoho Mail para sua empresa
O Zoho Mail é uma plataforma de e-mail profissional segura que oferece uma gama de recursos para proteger a sua comunicação diária.
Segurança física
A ferramenta garante a proteção física dos seus dados, assegurando que seus servidores estejam localizados em instalações protegidas com acesso controlado.
Proteção de dados de e-mail
Também usa técnicas para proteger seu e-mail, como criptografia em repouso e em trânsito, e outras medidas contra ataques externos.
Um exemplo é o uso de DMARC, uma tecnologia que ajuda a proteger contra a falsificação de e-mails e permite que os proprietários especifiquem como as mensagens serão filtradas, prevenindo ataques de phishing.
E-mail criptografado
Os seus e-mails são criptografados durante o trânsito usando TLS (Transport Layer Security), garantindo que ninguém além do destinatário pretendido possa ler.
Além disso, o Zoho Mail possui S/MIME, uma tecnologia que permite a criptografia de mensagens a todo momento. Isso significa que, mesmo se um invasor interceptar uma mensagem, não será capaz de ler.
Acesso seguro ao e-mail
Oferece várias opções para acesso seguro ao e-mail, incluindo autenticação de dois fatores (2FA) e Single Sign-On (SSO), método que permite que os usuários acessem múltiplas aplicações com Autenticação Única.
Certificados e conformidade
O Zoho Mail adere a várias normas e certificações internacionais de segurança, demonstrando seu compromisso em proteger os dados dos usuários. Além de fornecer um ambiente de e-mail altamente seguro, com o melhor custo-benefício.
Conclusão
A plataforma faz parte da suíte de produtividade Zoho Workplace, um sistema completo que impulsiona a comunicação e a colaboração das equipes na sua empresa, por um excelente custo-benefício.
Além do Zoho Mail, a plataforma oferece pacote Office, ferramenta de videochamadas e webinars, chat corporativo, intranet social corporativa e armazenamento de arquivos em nuvem.
O Zoho Workplace conta com segurança e proteção de dados avançada para todos os âmbitos do tarbalho em escritório. Transforme a forma como a sua equipe trabalha e proteja todos os dados contra ameaças como phishing e mais!
Comments