O phishing, em todas as suas formas, desde os e-mails maliciosos até ao SMShing (phishing de texto), passando pelo phishing de posts sociais e pelo Vishing (phishing de chamadas telefónicas), faz agora parte do quotidiano de uma organização.

No entanto, os e-mails de phishing são, de longe, a forma mais comum de phishing.

O que são e-mails de phishing?

Os e-mails de phishing são mensagens fraudulentas enviadas por cibercriminosos que se fazem passar por entidades legítimas, com o objetivo de enganar os destinatários para que divulguem informações sensíveis ou realizem acções prejudiciais, como clicar em ligações maliciosas ou descarregar malware.

De acordo com a pesquisa do“2021 Cybersecurity Threat Trends Report” da Cisco, cerca de 90% das violações de dados começam com e-mails de phishing. Preocupantemente, o relatório sugere que em 86% das organizações, pelo menos uma pessoa irá clicar numa ligação de phishing. Mas, como é óbvio, basta um clique para ser infetado com ransomware ou para a exposição de dados sensíveis, etc.

Compreender as tácticas utilizadas em algumas das formas mais comuns de ataques de correio eletrónico de phishing e a forma como os empregados as podem evitar ajuda a reduzir o risco cibernético. Aqui tens cinco exemplos de e-mails de phishing e como evitar que os funcionários corram riscos.

A fraude da fatura falsa

O esquema das facturas falsas é um dos preferidos dos phishers. Os burlões enviam e-mails com facturas falsas, na esperança de apanhar um empregado desprevenido. Infelizmente, se a fatura falsa for paga ou se for feita uma pergunta sobre a fatura ao burlão, é provável que seja roubado dinheiro ou dados pessoais.

O tipo de fatura incluída nos e-mails de phishing varia, mas os exemplos incluem o seguinte:

Faturação de produtos de segurança, como o software antivírus

  • Facturas em atraso de fornecedores falsos

  • Os e-mails de expiração do pagamento do domínio avisam que, se não agires, o teu site e os teus e-mails deixarão de estar disponíveis 

  • Facturas de angariação de fundos e de caridade, muitas vezes oferecendo um anúncio ou um artigo numa publicação de caridade

  • O Business Email Compromise (BEC) é uma forma altamente sofisticada e direcionada de esquemas de facturas falsas

Como evitar fraudes com facturas falsas

As burlas de facturas podem ser muito sofisticadas, com os burlões a visarem pessoas específicas, como as que trabalham em contas a pagar ou os diretores financeiros. As mensagens de correio eletrónico parecem genuínas, incluindo frequentemente uma mensagem urgente do tipo “paga agora ou sofre as consequências”.

Utiliza phishing simulado que fornece formação baseada em funções para visar os tipos de utilizadores mais expostos a esquemas de facturas falsas. Os simuladores de phishing baseados em funções permitem-lhe adaptar as suas campanhas de phishing simuladas para refletir os desafios reais que departamentos e pessoal específicos enfrentam.

exemplo 1

E-mails falsos de suporte técnico

Criar um sentido de urgência e de conformidade são duas das técnicas de manipulação utilizadas pelos burlões para enganar os empregados e levá-los a clicar em ligações maliciosas ou a descarregar anexos infectados. Um exemplo destas manipulações comportamentais é visto em e-mails de phishing que fingem ser do suporte técnico.

No exemplo abaixo, podes ver o pessoal a ser instado a mudar para um novo portal Web para aceder a informações pessoais e empresariais importantes, incluindo os seus recibos de vencimento. A mensagem de correio eletrónico recorda aos funcionários que têm apenas 24 horas para cumprir a recomendação.

O e-mail contém um link para um site malicioso. Se o empregado clicar nesse link e navegar para o site, ser-lhe-á pedido que introduza as suas credenciais de login e dados pessoais. Se o fizer, esses detalhes serão roubados e os fraudadores usarão as credenciais de login para entrar no portal real.

Como evitar e-mails falsos de suporte técnico

Todos os funcionários estão em risco com este tipo de e-mail de phishing especulativo geral. A formação geral de sensibilização para a segurança deve ser utilizada para educar todos os funcionários, em todos os departamentos, sobre como estar seguro em linha.

A educação sobre a forma como os cibercriminosos manipulam o comportamento humano é crucial para a formação dos funcionários sobre as tácticas utilizadas pelos autores de fraudes ao criarem e-mails de phishing. Os programas eficazes de formação de sensibilização para a segurança utilizam a aprendizagem pontual, que aproveita as oportunidades para reciclar os maus comportamentos de segurança.

A formação geral de sensibilização para a segurança deve ser utilizada juntamente com exercícios de simulação de phishing que abordem especificamente este tipo de ameaça de phishing. Ou seja, mensagens de correio eletrónico que parecem ser de departamentos internos e que utilizam tácticas como a urgência e ameaças de disciplina se não forem cumpridas.  

exemplo 2

Fraudes fiscais

As burlas fiscais aumentam frequentemente de volume durante a época fiscal, mas podem acontecer em qualquer altura. Muitas vezes, estes e-mails oferecem um reembolso de impostos. No entanto,  O HMRC declara explicitamente no seu sítio Web: “O HMRC nunca enviará notificações por correio eletrónico sobre descontos ou reembolsos de impostos.”

Os e-mails de burla fiscal têm normalmente um aspeto realista e são muitas vezes bem compostos. Os burlões utilizam o logótipo do HMRC e a marca relacionada para ajudar a fazer com que as mensagens de phishing pareçam legítimas. Normalmente, existe uma ligação para a página de início de sessão do HMRC Gateway. A página para a qual a hiperligação navega é um site falso que é utilizado para recolher dados e enviá-los aos burlões por detrás do esquema. Por vezes, estes sites também contêm malware, e quem navegar nesse site pode acabar com um dispositivo infetado.

Como evitar fraudes fiscais

As burlas fiscais podem não ser direcionadas, sendo enviadas a qualquer pessoa de uma organização. No entanto, as fraudes fiscais mais eficazes são enviadas a funcionários específicos dos departamentos financeiros. Por isso, embora seja importante incluir as fraudes fiscais nos teus exercícios de simulação de phishing para todos, deves também concentrar-te em educar qualquer pessoa do departamento financeiro sobre elas. No período que antecede a época fiscal, redobra a formação para garantir que os funcionários, especialmente os do departamento financeiro, estão preparados para o provável ataque destes e-mails de phishing.

Problema de conta de e-mail E-mail de phishing

Imagina que um funcionário recebe um e-mail que soa a urgência, informando-o de que a sua conta de e-mail está prestes a ser suspensa ou que tem de ser actualizada com urgência. Nesse caso, pode sentir-se compelido a clicar no link para resolver o “problema”. No entanto, esse e-mail pode ser um esquema de phishing que leva ao roubo de credenciais.

O exemplo de e-mail de phishing abaixo mostra como a marca Microsoft foi usada para dar mais peso à afirmação de que a conta de e-mail do utilizador está em risco. A ligação no e-mail é maliciosa e leva o utilizador para um site que parece ser uma página de início de sessão do Microsoft Office 365.

A Microsoft está frequentemente entre as cinco marcas mais falsificadas utilizadas em mensagens de phishing. De acordo com a Cisco, as cinco principais marcas falsificadas no primeiro trimestre de 2022 são:

  1. LinkedIn (relacionado com 52% de todos os ataques de phishing a nível mundial)

  2. DHL (14%)

  3. Google (7%)

  4. Microsoft (6%)

  5. FedEx (6%)

Como evitar problemas com o Microsoft Email Email de phishing

Os autores das fraudes utilizam frequentemente a Microsoft e outras marcas bem conhecidas para dar aos empregados uma falsa sensação de segurança. A lealdade e a confiança na marca são utilizadas para garantir que as vítimas se envolvem com a mensagem de correio eletrónico e clicam na ligação maliciosa. É aqui que os exercícios simulados de phishing podem treinar os funcionários para terem cuidado com os e-mails de marca que incluem tácticas de manipulação de comportamento, como a urgência.

exemplo 3

Golpe do Google Docs

As empresas utilizam regularmente o Google Docs para recolher documentos e ideias e colaborar com os colegas. Em 2020, o Google GSuite tinha mais de  6 milhões de empresas subscreveram o serviço. Estes muitos utilizadores fazem do Google uma proposta desejável para os burlões.

Um novo uso recente de um ataque baseado em phishing, que usa o GSuite para fisgar um alvo, mostra como os hackers podem ser inovadores. Neste esquema, um fraudador cria um documento Google e depois comenta dentro dele usando a notação @ para atingir um utilizador específico. Isto faz com que o Google envie um e-mail de notificação para a caixa de entrada do alvo sobre o comentário. O e-mail do Google é genuíno, mas tem um comentário incorporado. Este comentário contém normalmente links maliciosos que, se clicados, levarão o funcionário a um site malicioso.

O Google actualizou recentemente os comentários para que as pessoas possam ver quem deixou o comentário. No entanto, os burlões estão constantemente a atualizar as suas tácticas e, em breve, poderá aparecer um novo esquema GSuite.

Como evitar fraudes com comentários do GSuite (e similares)

Os e-mails de phishing habilmente disfarçados podem ser utilizados como “pegadinhas” em e-mails legítimos e serviços semelhantes, como é o caso do esquema de comentários GSuite. Estes esquemas sofisticados tornam difícil para os empregados reconhecerem um esquema.

A formação de sensibilização para a segurança deve refletir as políticas da empresa, incluindo a utilização de repositórios de documentos baseados na nuvem e quem pode ou não colaborar na documentação da empresa. Ao realizar a formação em segurança, certifica-te de que dispões da informação mais actualizada sobre fraudes e que o conteúdo reflecte as últimas fraudes.

Utiliza a Formação de sensibilização para a segurança e uma plataforma de simulação de phishing que oferece um excelente apoio na criação de programas de formação baseados em funções e que oferecem vários idiomas e suporte de acessibilidade.

Além disso, é essencial reconhecer que os autores de fraudes mudam regularmente as suas tácticas para evitar a deteção. Por conseguinte, é essencial realizar regularmente uma formação de sensibilização para a segurança ao longo do ano.

Risco de ransomware