Numa sexta-feira, ao fim da tarde, no escritório, aparece uma mensagem na tua caixa de correio eletrónico do diretor-geral com o título “É necessária uma transferência urgente, o mais depressa possível! 

Este é um cenário com o qual muitas pessoas estão cada vez mais familiarizadas no mundo digital moderno. Infelizmente, os ataques de phishing estão a ser sentidos em todo o Reino Unido e a nível mundial, com  2016 registou um enorme aumento de 65%. Isto faz com que muitas organizações enfrentem a pressão crescente de proteger e educar adequadamente os seus funcionários relativamente a estas ameaças. Então, o que é um e-mail de phishing? Apresentamos-te abaixo algumas  dicas escritas na perspetiva de um hacker ‘MataHacky’s Guide’ sobre como detetar o Phish e ripostar!

#1 Não há problema em generalizar… mas se fores um verdadeiro profissional Spear Phish!

Quando começas e te diriges a várias pessoas de uma só vez, não há problema em manter a designação geral, uma vez que estamos apenas à procura de um otário para morder. Por exemplo,  “Caro cliente” é suficiente para abrir e muitas vezes passa despercebido por um desavisado que está em movimento com a sua vida agitada. Muitos deles nem sequer questionarão o facto de o e-mail não ser personalizado e de não te dirigires a eles pelo nome. É importante notar que, à medida que a consciencialização aumenta, cada vez mais pessoas começarão a ver esta generalização como um detetor de ameaças. Isto leva-nos ao ponto em que se encontra o verdadeiro dinheiro e o jogo muda de ritmo…  spear phishing! Basicamente, deves pesquisar o teu alvo, descobrir o seu nome, local de trabalho e até o nome do seu chefe para criar um phishing personalizado super convincente!

#2 Cria um sentido de urgência!

Esta é a chave. Tens de incutir medo no público. Sem isso, podem olhar com mais atenção para as outras falhas do teu e-mail, como os erros ortográficos, e tornar-se cautelosos. Tal como um cavalo que sai da armadilha, tens de entrar imediatamente. Começa pelo assunto do e-mail  ‘Urgente – atividade suspeita na tua conta X’ é normalmente uma excelente forma de abrir e chamar a atenção. Lembra-te de manter este nível de urgência durante todo o teu e-mail e serás um vencedor. O pânico é a chave para um bom phish. Pensa no que é mais precioso, como detalhes que possam causar estragos financeiros ou embaraços à reputação, coloca-o numa situação de perigo e vais conseguir uma mordida.

#3 Cuidado com a ortografia e a gramática

É verdade que, se cumprires os outros pontos que referi, podes escapar a alguns erros ortográficos ou gramaticais… no entanto, tens de estar atento à quantidade de erros ortográficos no teu texto. Um ou dois provavelmente passarão despercebidos, mas o observador de phishing mais atento não se deixará enganar, por isso tenta corrigi-los o melhor possível. Afinal de contas, qualquer empresa verdadeiramente profissional não terá erros ortográficos nos e-mails que envia aos seus clientes.

Por outro lado, os erros ortográficos vão ajudar-te a criar a lista perfeita de otários. Se eles caem num e-mail de phishing cheio de erros ortográficos, em que mais poderiam cair? Podes até partilhar os dados de contacto destes otários com os teus amigos hackers para que eles também os possam atacar!

#4 Cria um endereço de e-mail e links falsos realmente convincentes!

Para garantir que esses tolos mordem o isco e clicam no link que forneces, tens de garantir que o endereço de e-mail a partir do qual estás a operar parece legítimo. Mais uma vez, a atenção das pessoas aos detalhes é muitas vezes insuficiente, por isso, se virem um e-mail de “[email protected]”, muitas pessoas não se aperceberão destes pequenos erros. Aplica a mesma ideia aos teus links também! Faz com que pareçam tão reais quanto possível e podes conseguir apenas um pequeno carácter aqui ou ali que falta ou é adicionado. A falsificação é uma arte, por isso, se queres ser um mestre, é melhor começares a praticar!

Lembra-te que 91% dos ataques de phishing a empresas contêm falsificações de nomes de apresentação, 30% são abertos e 12% dos idiotas vão clicar no link ou no anexo, por isso tens boas hipóteses de ganhar dinheiro rápido se seguires as minhas regras. Boa sorte!

O empregado médio enfrenta pelo menos uma mensagem de correio eletrónico arriscada por dia, prevendo-se que o correio eletrónico continue a ser o principal método de ataque para a maioria dos ataques até 2020. Nos últimos dois anos, as ligações fraudulentas enviadas para contas de correio eletrónico de empresas custaram às empresas mais de  dois mil milhões de dólares com 30% dos clientes mudam o seu negócio para outro local na sequência de uma violação.

Podes dar-te ao luxo de a tua organização ou mesmo a tua conta pessoal sofrer nas mãos de um destes ataques? Se a resposta for não, então podes estar interessado no nosso curso de eLearning Essential Phishing Awareness, que aborda como identificar corretamente um phishing e o que fazer quando detecta um. Este curso também pode ser complementado com o nosso software de simulação de phishing “MetaPhish” para ajudar a aumentar a sensibilidade dos teus funcionários a e-mails fraudulentos.

O maior risco de segurança cibernética que a tua empresa enfrenta diariamente é a complacência dos funcionários e agora é a altura certa para inverter esta situação. Fala connosco hoje para obteres mais informações sobre como podes salvar a tua organização de um ataque de phishing.