Ataque phishing: conheça as modalidades e veja como proteger os seus dados

Mostramos o que é um ataque phishing, quais são os tipos mais recorrentes e o que fazer para proteger a sua empresa dessa ameaça.

25/10/2019 às 9:00

O nome vem do termo em inglês fishing, que em português significa “pescaria”. Em se tratando de segurança de dados, tal definição é uma grande pista do que pode acontecer nesse tipo de ação. Trata-se de um roubo de informações no qual o invasor é capaz de “pescar” informações importantes, como senhas, número do cartão de crédito e por aí vai.

Geralmente, o criminoso se apropria de uma marca e envia um link ou um e-mail falso se passando pela mesma. Esse tipo de comunicação tem o mesmo aspecto visual da marca em questão – logotipo, cores e dados parecidos. Quando o usuário clica, logo é redirecionado para uma página e é ali que acontece o roubo das informações.

Ataque Phishing: mulher trabalhando em um computador.
Ataque phishing: o problema pode chegar por diferentes meios, por isso é importante se proteger.

Por ser muito semelhante, muitas vezes as pessoas não percebem que se trata de um golpe. Porém, sempre tem alguma característica que não bate com a comunicação original da empresa. Exemplos: erros de digitação, endereço do site muito semelhante (apenas com alterações bem sutis) e e-mails diferentes dos que a empresa costuma utilizar.

Veja como pode acontecer: a Vivo te manda um e-mail, só que em vez de o remetente estar escrito como “contadigital@vivo.com.br” aparece como “contadigtal@vivo.com.br”. Ou seja, aquele “i” faltando passa despercebido e faz toda a diferença.

Daí a importância de se proteger (e falamos como mais à frente). Abaixo, você confere quais são os tipos de ataques mais recorrentes.

Ataque phishing: tipos mais recorrentes

Existem diferente maneiras de um ataque phishing acontecer. Uma delas começa com a compra de um certificado de SSL falso – tal certificação (a verdadeira) atesta a confiabilidade de um site. Com isso, os criminosos conseguem hospedar domínios falsos. Inclusive, essa manobra faz com que os usuários “caiam” com mais facilidade na armadilha. O motivo é simples: o cadeado que aparece na parte superior do site oferece a sensação de confiança.

Ataque phishing: conheça os principais tipos.
O cadeado na URL do site mostra que o site tem o certificado SSL.

Dessa forma, os clientes, fornecedores ou colaboradores, por exemplo, são enganados com maior facilidade.

Whaling

Esse tipo de ataque phishing é comum no universo empresarial,voltado a executivos de cargos mais altos. Assim, o conteúdo normalmente envolve questões judiciais (podendo até mesmo se passar pelo governo), reclamações de algum cliente ou outras estratégias semelhantes para chamar a atenção do alvo.

Usam a internet como fonte de informações, muitas vezes as mídias sociais, para enganar os funcionários a divulgarem dados financeiros ou pessoais.

Ataque phishing: mulher trabalhando em um computador.
O ataque whaling é mais direcionado.

No entanto, todas as sequências passadas são falsas. Assim, os funcionários acabam direcionando informações e acabam caindo nesse golpe. Daí a importância de instruir os colaboradores. É essencial checar os endereços de e-mail e questionar caso fiquem com alguma dúvida ou desconfiança.

Smishing

Nesse caso, o ataque phishing é feito por SMS. Este método finge que os remetentes das suas mensagens são seguros e confiáveis (seu banco, fornecedor de serviços, a rede social, etc.) e tenta extrair informações privadas da vítima como senhas online, números de CPF, cartões de crédito. É possível que haja também requerimento de atualizações de dados pessoais, renovação de tokens ou simplesmente pedir para que a vítima baixe e instale algum aplicativo contendo software malicioso.

Tal abordagem pode acontecer também pelo WhatsApp. Assim, o celular do usuário passa a ser bombardeado com mensagens de promoções e outros assuntos. Todas contam com um link – e é exatamente ao clicar sobre ele que o roubo dos dados acontece.

Spear phishing

Esse é um golpe direcionado já tendo a intenção de “pescar” uma pessoa ou empresa específica. O invasor, então, cria uma identidade falsa. Por exemplo: cria um e-mail com nome, número de telefone e até links de redes sociais. Ou seja, o objetivo é fazer a vítima acreditar que se trata de um contato verdadeiro.

Ataque phishing: mulher mexendo no celular.
Esse tipo de ataque vem por SMS ou então por WhatsApp.

Tal contato é bastante pessoal e, aos poucos, faz a vítima enviar dados importantes ou então revelar informações sigilosas da empresa. É uma ação completamente pensada e estruturada.

Captura de credenciais

Outra forma de atingir as empresas é enviar pastas falsas de sites de armazenamento em nuvem, como o Dropbox e o Google Drive. Dessa forma, os invasores obrigam as vítimas a clicarem naquele conteúdo. Afinal, é preciso fazer isso para visualizar os arquivos.

Homem com um tom ameaçador.
O ataque acontece por sites falsos de plataformas na nuvem, como Google Drive e Dropbox.

Tais páginas são completamente criadas pelos invasores – e são idênticas às originais. Aqui, os erros são semelhantes aos demais, como domínio diferente do original, erros de português, logotipo distorcido da realidade. Por isso, mais uma vez, é essencial instruir as equipe. Atenção ao detalhe é muito importante para evitar um ataque phishing!

Como se proteger?

A dica mais importante é a orientação. Faça uma campanha interna, por exemplo, alertando os colaboradores sobre a necessidade de verificar o endereço do e-mail ou do site antes de passar qualquer informação. Além disso, informe-os que abrir anexos é sempre um risco, sobretudo quando você não conhece ou desconfia do remetente.

Geralmente, instituições bancárias não mandam anexos e nem pedem esse tipo de dado por e-mail ou WhatsApp. Por isso, deixe bem claro tudo isso para as equipes.

Placa escrita: não entre, em inglês.
Instrua as suas equipes para evitar problemas que afetam a segurança.

Além disso, a sua empresa pode se defender de um phishing alertando a empresa ou o site que o criminoso se fez passar. Eles também podem entrar com medidas legais para resolver o problema e ainda conseguem avisar todos os seus clientes sobre o golpe.

Conheça o Vivo Vamps!

As ameaças digitais estão em qualquer parte ou camada da imensidão da web. Fraudes e golpes podem afetar, enfraquecer e destruir a reputação e a confiança de uma marca.

Por isso, as empresas precisam buscar por mecanismos e informações que auxiliem na prevenção a ameaças digitais como: fraudes financeiras (boletos, cartões), uso não autorizado da marca, aplicativos maliciosos, malwares indetectáveis, campanhas direcionadas, domínios suspeitos, etc.

E aí, o que achou das dicas? Viu como é essencial tomar alguns cuidados e, sobretudo, instruir as equipes? Afinal, um ataque phishing pode causar problemas irreversíveis para a empresa.

Então, já que estamos falando sobre o tema, aproveite para saber também o que é um ataque DDoS – e o que essa ameaça representa para sua empresa. Além disso, veja também quais consequências pode ter o uso de um software pirata.

No mais, continue conosco por aqui para mais conteúdos como esses! Agradecemos a leitura e até a próxima!

Gostou da notícia?

Veja mais sobre
GestãoSegurança de dados
campo obrigátório

Cadastro efetuado com sucesso!

Em breve você receberá os melhores conteúdos para ajudar a gerenciar, expandir ou inovar o seu negócio