O phishing tem como objetivo obter dados pessoais da vítima, como senhas e números de cartões, por meio de mensagens falsas. Os criminosos usam técnicas sofisticadas de engenharia social para criar mensagens credíveis que levem a vítima a fornecer esses dados. É importante estar atento a detalhes como erros, links suspeitos e urgência excessiva para não cair em golpes de phishing.
Tudo sobre Phishing: Como identificar e se proteger
1. Tudo o que você precisa saber sobre: PHISHING
1 - VISÃO GERAL
O termo phishing tem origem na palavra em inglês fishing, que
significa pesca. O termo traduz muito bem o conceito desse tipo de
ameaça digital: a tentativa de “pescar” dados pessoais da vítima. Sejam
eles senhas, números de documento ou cartões de crédito, endereços
etc.
O objetivo final do fraudador é utilizar os dados da vítima para obter
vantagens financeiras com a transferência eletrônica de valores,
realizar compras utilizando os dados do cartão de crédito em lojas
online ou até mesmo contratar serviços como planos de telefonia
celular, televisão por assinatura e serviços de streaming. Normalmente,
o usuário só descobre que foi vítima do ataque quando já é tarde
demais, quando percebe que algum valor foi subtraído de sua conta
bancária ou quando não reconhece os débitos na fatura do cartão de
crédito.
Apesar deste tipo de ameaça existir há mais de duas décadas, quatro
em cada 10 usuários ainda não conseguem identificar uma mensagem
falsa ou têm de adivinhar se o conteúdo é real ou malicioso. Usando
engenharia social cada vez mais sofisticada os cibercriminosos
continuam a obter êxito nos ataques, tanto contra usuários individuais
quanto contra empresas.
we secure your business
Whitepaper
01Tudo o que você precisa sobre: Phishing
2. 2 - OS TIPOS DE PHISHING
O phishing pode ser classificado pelo volume de mensagens enviadas,
técnicas de disfarce utilizadas e até direcionamento do ataque. O tipo
mais tradicional de ataque é caracterizado pelo envio em massa de
mensagens para endereços de e-mail obtidos em vazamentos de
dados ou comprados na web. Não é difícil encontrar kits de phishing
(que incluem o disparo do e-mail) por cerca de R$ 40,00. No entanto,
para obter maiores ganhos e efetividade, os cibercriminosos passaram
a estudar suas vítimas, seu círculo social e comportamentos, criando
outros tipos de phishing.
• Spear Phishing - Algo como "pesca com lança", ou seja, um tipo
mais específico de phishing que é direcionado para um grupo
selecionado de usuários ou departamentos em empresas. Nesse tipo
de ataque, o criminoso estuda muito bem o grupo de usuários que
será atacado, entendendo seu comportamento online, pessoas do
círculo profissional e perfis de redes sociais, em um processo chamado
engenharia social. A mensagem falsa utiliza recursos gráficos e de
conteúdo que aumentam sua relevância e credibilidade.
• Smishing - É a abreviação de SMS Phishing, uma variante da
ameaça que utiliza mensagens de SMS para encaminhar URLs
(endereços virtuais) falsos para o usuário. Com o uso cada vez maior
de dispositivos inteligentes, a vítima pode clicar no URL falso e ser
direcionada ao site de coleta de dados e ter sua identidade roubada,
tudo na palma da mão.
• Vishing - Abreviação para Voice Phishing em que a vítima é levada
a fazer uma ligação para o criminoso que pode simular, por exemplo,
uma central de atendimento ao cliente e ter acesso aos dados da
vítima via telefone.
02Tudo o que você precisa sobre: Phishing
3 - OS ARGUMENTOS
Para ter sucesso, os ataques de phishing devem convencer o usuário
de que são comunicações reais, devem incitar o clique e levar ao
compartilhamento de dados e nas páginas web maliciosas. Para isso,
essas mensagens são criadas com os mais variados argumentos:
• A manobra do governo - Esse tipo de mensagem tenta parecer
com alguma comunicação originada em um órgão oficial do governo,
tipicamente citando algum documento expirado, multas ou outro
prejuízo ao cidadão.
Mensagem falsa de cancelamento do título de eleitor
Fonte: Portal G1
Para obter maiores ganhos,
os cibercriminosos
passaram a estudar suas
vítimas, seu círculo social e
comportamentos.
3. 03Tudo o que você precisa sobre: Phishing
• O amigo em perigo - O criminoso tenta coibir a vítima a enviar
recursos financeiros passando por um familiar, amigo ou conhecido.
Os dados da vítima e outros detalhes do relacionamento são
conseguidos durante a fase de engenharia social do ataque, por meio
de perfis nas redes sociais.
• A conta com problema - Nesse tipo de phishing, a vítima recebe
uma comunicação de que há algum problema com seu cadastro em
redes sociais, fóruns ou outro serviço online. A mensagem frisa sempre
a importância de se realizar uma checagem de segurança ou troca de
senha. Ao clicar no link, o usuário é levado para um site malicioso que
sequestra suas informações.
• Meu banco amigável - O Brasil é um dos países com maior uso de
internet banking em todo o mundo e, como não poderia deixar de ser,
esse canal é sempre alvo de tentativas de phishing. A mensagem falsa
cita sempre uma falha de segurança ou necessidade de revalidação de
tokens, também pode citar uma operação financeira suspeita que
precisa da confirmação dos dados da vítima.
• A vantagem incrível - Pode ser um sorteio em que a vítima foi
premiada, a possibilidade de usar um app gratuitamente ou a oferta
de descontos imperdíveis. Nessa tática de ataque, o criminoso visa
fazer com que o usuário forneça dados para comprar o produto ou
receber a vantagem prometida, o que nunca acontece.
Mensagem falsa de cancelamento de conta do Facebook
Fonte: Portal Linha Defensiva
Mensagem falsa de suspeitas na conta bancária
Fonte: Portal G1
Mensagem falsa promocional
Fonte: Portal Baboo.com.br
4. 04Tudo o que você precisa sobre: Phishing
AMÉRICA DO NORTE
1450 Brickell Avenue
14th floor - Miami
FL 33131 - USA
+1 305 373 4660
AMÉRICA LATINA
R. Alexandre Dumas 1658
2º andar - São Paulo
SP 04717-004 - BR
+55 11 4501 6600
EUROPA
2 Kingdom Street
6th floor - Paddington
London W2 6JP - UK
+44 203 580 4320
www.cipher.com.br
Se você está entre as pessoas que não sabe como identificar uma mensagem de phishing, não se preocupe, aqui estão
algumas dicas importantes para não cair nessa rede maliciosa.
COMO NÃO SER FISGADO?
Não confie no nome do remetente Preste atenção em erros no texto
Uma das técnicas preferidas dos criminosos em ataques
do tipo phishing é utilizar um nome de remetente falso.
Ou seja, uma mensagem que pode chegar com o nome
do seu banco no campo "De:", mas na realidade o
endereço de e-mail utilizado não é o da instituição
financeira. Há casos em que a mensagem traz um domínio
parecido com o do site que tenta imitar, com apenas
algumas letras diferentes ou um sufixo diferente de
.com.br comumente usado no país. Cheque sempre o
endereço real do remetente, não confie no nome
mostrado no e-mail.
Olhe mas não clique
Passe o mouse sobre qualquer um dos links que esteja no
corpo do e-mail. Se o link parecer esquisito, não clique
nele. Outra boa dica é digitar o URL diretamente na janela
do browser ao invés de clicar na mensagem suspeita. É
possível que na tela você veja um endereço, mas que o
link seja outro.
Gerentes de comunicação das marcas - normalmente as
pessoas quem responde pelo envio de e-mail - prestam
muita atenção nas mensagens enviadas aos clientes. Um
e-mail legítimo não terá erros de ortografia ou gramática.
Analise como a mensagem se dirige à você
E-mails legítimos de empresas sérias não de dirigem aos
clientes com um "Prezado Cliente" na saudação,
normalmente as mensagens carregam o nome do cliente
e outro dado de identificação.
Não forneça informações pessoais
Empresas, bancos e administradoras de cartão de crédito
quase nunca pedem por informação pessoal utilizando
e-mails. Não os forneça.
Desconfie de assuntos muitos urgentes ou
em tom de ameaça
Usar palavras que dão senso de urgência à mensagem
para aumentar sua relevância é uma tática comum de
phishing. Desconfie de assuntos como "sua conta foi
suspensa" ou "um acesso não permitido foi
realizado".
Não abra anexos
Uma das táticas mais comuns em e-mails phishing é incluir
anexos maliciosos e malware. Esses arquivos podem
danificar seu computador, roubar suas senhas e
identidade digital, espiar suas ações, sua câmera e
microfone. Não abra nenhum anexo que você não esteja
esperando.
Não confie na imagem no topo do e-mail
Criminosos utilizam logotipos, cores e slogans das marcas
de maneira cada vez mais crível. Não pense que uma
mensagem bem desenhada, com elementos gráficos,
fontes e cores alinhados à comunicação da marca atesta
sua validade.
Reveja a assinatura do e-mail
A falta de detalhes de contato sobre o remetente ou uma
pessoa que possa ser contatada na empresa que enviou a
mensagem é um forte indicativo de phishing.