Em 2023, o impacto financeiro médio de uma violação de dados causada por phishing subiu para uns impressionantes 4,76 milhões de dólares. Esta estatística alarmante serve como um forte lembrete de quão astutos e dispendiosos podem ser estes ataques.
Nesta publicação do blogue, vamos mergulhar profundamente no mundo do phishing, explorando as suas várias formas e fornecendo-lhe informações essenciais sobre como detetar e frustrar estas tentativas maliciosas.
O que é o Phishing?
O phishing é um tipo de ataque cibernético em que as pessoas são visadas por correio eletrónico, telefone ou mensagem de texto por um atacante que se faz passar por uma organização, amigo ou colega de trabalho legítimo. O objetivo destes ataques é enganar as vítimas para que forneçam dados sensíveis, incluindo informações de identificação pessoal, dados bancários e de cartões de crédito e palavras-passe.
De acordo com um relatório da Egress, 92% das organizações sofreram ataques de phishing em 2022. Uma única mensagem enganosa pode levar ao roubo de informações pessoais ou à infeção do dispositivo com malware. No entanto, o reconhecimento de mensagens de correio eletrónico de phishing pode ser um passo significativo na prevenção destes ataques.
Tipos de ataques de phishing
Spear phishing: Uma forma personalizada de ciberataque que utiliza informações pormenorizadas sobre o alvo para tornar o ataque mais credível. Estes ataques são meticulosamente concebidos, recorrendo frequentemente à vigilância e às informações recolhidas sobre a organização ou o indivíduo visado.
Phishing por e-mail: Ao contrário do spear-phishing, as campanhas de phishing por e-mail adoptam uma abordagem mais ampla. O seu objetivo é enganar muitos utilizadores ou funcionários para que revelem informações pessoais, como nomes de utilizador, números de telefone e detalhes de cartões de crédito. Estes e-mails empregam frequentemente frases comuns e criam um sentido de urgência para enganar os destinatários e levá-los a clicar numa ligação maliciosa ou a descarregar um anexo infetado.
Comprometimento de e-mail comercial (BEC): Um ataque sofisticado que começa frequentemente com um e-mail de spear-phishing. Os autores das fraudes fazem-se passar por executivos de alto nível ou fornecedores de confiança e enviam pedidos aparentemente legítimos de transferências de fundos ou informações sensíveis.
Whaling: Whaling é um tipo de ataque cibernético que visa especificamente executivos de alto nível ou indivíduos importantes dentro de uma organização. É uma forma de spear phishing concebida para roubar informações sensíveis ou obter acesso não autorizado a redes empresariais.
Smishing: Smishing é um termo utilizado para descrever um ataque que é efectuado através de SMS (Short Message Service) ou mensagens de texto, mas também pode ser enviado através de aplicações de mensagens populares como o WhatsApp ou o Facebook Messenger.
Vishing: As burlas telefónicas são uma tentativa orientada para manipular alguém no sentido de realizar determinadas acções ou divulgar informações confidenciais. Esta prática é vulgarmente conhecida como vishing. Vishing é uma combinação das palavras voz e phishing e refere-se a esquemas de phishing que têm lugar por telefone.
Detetar um ataque de phishing
Tornou-se cada vez mais difícil identificar os e-mails de phishing, uma vez que os cibercriminosos se tornaram mais competentes e sofisticados nos seus métodos de ataque. Estas mensagens de correio eletrónico fraudulentas são agora mais bem elaboradas e personalizadas, utilizando frequentemente logótipos e linguagem de marcas de confiança, o que torna difícil distinguir entre uma mensagem de correio eletrónico legítima e uma mensagem fraudulenta de um burlão.
Ao familiarizar-se com os seguintes sinais, pode identificar e proteger-se eficazmente a si e à sua organização contra ataques.
Ligações suspeitas: As tentativas de phishing incluem frequentemente hiperligações que parecem suspeitas ou que conduzem a sítios Web desconhecidos. Antes de clicar em qualquer ligação, verifique a sua legitimidade examinando cuidadosamente o URL. Passe o rato sobre a parte superior do URL. Se este endereço for diferente do que é apresentado, não clique nele.
Pedidos de informações confidenciais: As mensagens de correio eletrónico provenientes de um remetente inesperado ou desconhecido que solicitem credenciais de início de sessão, informações de pagamento ou outros dados sensíveis devem ser sempre tratadas com cautela.
Informações incomuns do remetente: As burlas fazem-se frequentemente passar por empresas legítimas. Não se limite a verificar o nome do remetente; passe o rato sobre o endereço "de" e verifique se existem alterações, como números ou letras adicionais.
Saudações genéricas: Os autores de fraudes recorrem frequentemente a saudações genéricas como "Caro cliente" ou "Caro membro". As empresas de renome costumam personalizar as suas mensagens de correio eletrónico e, se necessário, pedem-lhe que as contacte por telefone.
Linguagem urgente ou que provoca medo: Os cibercriminosos criam frequentemente um sentimento de urgência ou medo para provocar uma ação imediata. Os atacantes utilizam esta estratégia para apressar os destinatários a agirem antes de poderem analisar a mensagem de correio eletrónico para detetar potenciais falhas ou inconsistências. As frases e tácticas mais comuns utilizadas pelos burlões incluem
- Notámos alguma atividade suspeita ou tentativas de início de sessão
- Há um problema com a sua conta ou informações de pagamento
- É necessário efetuar um pagamento
- Oferta de cupões para produtos gratuitos
- Emissão de uma confirmação de encomenda falsa
Erros ortográficos ou gramaticais: As organizações respeitáveis empregam redactores profissionais para as suas comunicações. Vários erros ortográficos ou gramaticais numa mensagem de correio eletrónico podem indicar uma tentativa de phishing.
