Reconhecer os sinais de ataques de phishing é crucial, mas é igualmente importante implementar medidas eficazes que impeçam os phishers e garantam a segurança das suas informações.
Nunca é demais realçar a importância da educação quando se trata de melhorar a nossa sensibilização para o phishing e outras ameaças à segurança digital. É por isso que discutimos algumas dicas para ajudar os utilizadores a detetar esquemas de phishing num artigo recente.
Saber o que procurar num ataque de phishing é importante. Mas isso é apenas metade da batalha. Os utilizadores também precisam de tomar medidas concretas para dissuadir os pescadores de phishing e manter a sua informação segura.
Reconhecendo esse facto, aqui estão 10 formas de o proteger e ao seu computador contra um phish bem sucedido.
Fortalecer as suas defesas cibernéticas: 10 dicas essenciais para prevenir e proteger-se contra ataques de phishing
1. Não entre em pânico
Os pescadores de pesca normalmente incorporam ameaças e um sentido de urgência nos seus e-mails de ataque. Há um propósito para o fazer. Como seres humanos semelhantes, eles sabem que tomamos algumas das nossas piores decisões quando estamos em pânico e não pensamos claramente. Podemos até permitir-nos clicar num link suspeito ou perder algumas das nossas informações pessoais sensíveis.
Dito isto, tente manter-se calmo se receber um email ameaçador ou de outra forma alarmante. Dessa forma, poderá tomar decisões informadas e evitar cair vítima de um esquema de phishing.
2. Introduzir informações sensíveis apenas em sítios Web seguros
A maioria dos ataques de phishing solicita que os utilizadores enviem as suas informações pessoais por correio electrónico ou introduzindo-as num formulário de login falso num website malicioso. Para proteger contra esta táctica, tente submeter as suas informações pessoais apenas em sítios web seguros. No mínimo, esses websites devem ter uma política de privacidade escrita que defina como irão utilizar/armazenar as suas informações pessoais. Podem também ter um certificado assinado para HTTPS, o que ajudará a proteger a privacidade e integridade de quaisquer dados que troque com eles.
3. Familiarize-se com a Política de Privacidade de um sítio Web antes de se inscrever
Só porque um website utiliza HTTPS não significa necessariamente que deva partilhar a sua informação pessoal com ele. Alguns websites vendem o seu endereço de correio electrónico e outras informações de contacto a terceiros. Esses compradores podem, por sua vez, vender os seus dados a indivíduos não-repuraveis que poderiam salvar a sua informação e alvejá-lo em futuros ataques de phishing.
Estar do lado seguro. Antes de partilhar as suas informações com um sítio web, reveja a política de privacidade do sítio e certifique-se de que concorda com os seus termos e condições.
4. Passe o rato sobre URLs suspeitos antes de clicar neles
Os atacantes gostam de enganar os seus alvos para que estes cliquem num URL aparentemente benigno que, na realidade, leva a um domínio malicioso. Felizmente, os utilizadores podem facilmente expor esse estratagema ao pairar sobre um URL suspeito. Será que o seu texto diz que o faz? Se não, pode ter a certeza que o verdadeiro destino do URL é de natureza maliciosa.
5. Tenha cuidado com as hiperligações encurtadas
Nem todos os URLs revelam as localizações reais dos links quando se passa o rato por cima deles. Veja os URLs encurtados, por exemplo. Serviços como o bit.ly e o tinyurl podem ajudar a reduzir o tamanho do URL e a localizar as hiperligações. No entanto, um URL que tenha sido encurtado não revela qualquer informação sobre o seu destino real. Pode levar a qualquer lugar, até mesmo a um site de phishing.
As organizações legítimas estão cientes deste cepticismo, pelo que geralmente não incorporam ligações encurtadas em qualquer correspondência comercial. Como resultado, se receber um e-mail contendo ligações encurtadas de uma organização, pense duas vezes antes de clicar nelas.
6. Instalar uma solução antivírus no computador
Enquanto muitos ataques de phishing extraem credenciais de utilizadores através de um formulário de login falso, outros instalam malware no computador do utilizador e utilizam keyloggers para recolher nomes de utilizador, palavras-passe, e outras informações sensíveis.
Para ajudar a proteger contra uma infecção malware, instale uma solução de software anti phishing no seu computador e assegure-se de que está actualizada para que possa detectar as últimas ameaças.
7. Implementar as actualizações do fornecedor assim que estiverem disponíveis
Uma das formas como os phishers entregam malware ao computador de um utilizador é através de kits de exploração, ou kits de software que exploram vulnerabilidades em software popular para infectar os utilizadores com programas maliciosos. Alguns dos mais conhecidos kits de exploração, tais como Angler, Neutrino, e Magnitude, normalmente lançam o software de resgate em computadores vulneráveis. Essas variantes cripto-malware encriptam os ficheiros dos utilizadores e exigem centenas se não milhares de dólares em resgate pela chave de descodificação.
Os kits de exploração são mais eficazes a visar computadores com vulnerabilidades de software conhecidas. Não se abra a ataques, deixando este tipo de questões por resolver! Tente actualizar o seu sistema assim que um fornecedor lançar uma actualização de segurança ou uma correcção de software.
8. Ativar Apenas conteúdo em documentos de fontes fidedignas
Outra forma como os pescadores furtivos gostam de infectar os utilizadores com malware é através de anexos de correio electrónico maliciosos. Em particular, os autores de fraudes gostam de enganar os utilizadores para que estes abram um documento Word aparentemente inocente que lhes peça para activar o conteúdo. Infelizmente, esse botão "activar conteúdo" é, neste tipo de e-mails, um iframe malicioso. Quando clicado, inicia um descarregador que passa malware para o computador do utilizador.
Os utilizadores precisam de abordar cuidadosamente o botão "habilitar conteúdo" nos documentos do Office. Só quando souberem que o documento teve origem numa fonte de confiança é que devem clicar no botão "enable content" (activar conteúdo). Mesmo assim, é uma boa ideia contactar previamente o remetente e confirmar que lhe enviaram um documento com algum conteúdo desactivado.
9. Contactar o remetente
O contacto com o remetente não é apenas uma boa forma de protecção contra conteúdos maliciosos (macros). É uma boa forma de protecção contra todos os tipos de ataques de phishing.
Se receber um e-mail suspeito de um amigo, membro da família, empresa ou outra fonte de confiança que pareça suspeito ou fora do seu carácter, contacte-os e confirme se realmente lhe enviaram a mensagem. Podem dizer que sim, ou podem revelar que foram hackeados recentemente.
10. Em caso de dúvida, apague o e-mail
Alguns e-mails suspeitos não vêm com qualquer informação de contacto utilizável sobre o remetente. Se for esse o caso, tente pesquisar o remetente e ver se consegue descobrir alguma informação sobre eles. Se não o conseguir fazer, é melhor simplesmente apagar o e-mail e não correr riscos com a segurança do seu computador.
Como evitar ataques de phishing: Principais conclusões e considerações finais
Ao aplicar as dicas partilhadas acima, está agora mais bem equipado para reconhecer e evitar uma vasta gama de ataques de phishing.
No entanto, as ameaças de phishing estão em constante evolução, com os cibercriminosos a adoptarem tácticas cada vez mais sofisticadas para enganar os utilizadores. É por isso que é essencial que os indivíduos e as organizações participem em acções de formação e exercícios de sensibilização antiphishing contínuos. É também uma boa ideia explorar o software anti-phishing de topo para proteger os seus dispositivos pessoais e profissionais.
No atual cenário empresarial digital, a capacidade de uma organização operar em segurança depende fortemente da sua postura de cibersegurança. O MetaCompliance oferece uma solução abrangente para apoiar esta necessidade - centrada na sensibilização para a cibersegurança, na simulação de phishing e na gestão da conformidade.
Com ferramentas como o Phishing Simulado, a Gestão de Incidentes, a Gestão de Políticas e as Avaliações de Conhecimentos, o MetaCompliance ajuda as empresas a reduzir o risco, aumentando a consciencialização dos funcionários para as ameaças à cibersegurança e à conformidade.
