5 e-mails comuns de phishing

O phishing – seja por correio eletrónico, mensagens de texto (SMShing), redes sociais ou chamadas telefónicas (Vishing) – é agora uma ameaça diária para as organizações. Entre todas as formas, os e-mails de phishing continuam a ser o tipo de ciberataque mais comum e mais prejudicial.

Compreender as tácticas utilizadas nos e-mails de phishing e formar os funcionários para reconhecerem as ameaças é crucial para reduzir o risco cibernético.

O que são e-mails de phishing?

Os e-mails de phishing são mensagens fraudulentas enviadas por cibercriminosos que se fazem passar por organizações legítimas. O seu objetivo é enganar os destinatários para que revelem informações sensíveis, cliquem em ligações maliciosas ou descarreguem malware.

No primeiro trimestre de 2025, o Relatório de Tendências da Atividade de Phishing do APWG registou mais de 1 milhão de ataques de phishing, o total trimestral mais elevado desde o final de 2023. Os atacantes estão a utilizar cada vez mais códigos QR nos e-mails para redirecionar as vítimas para sites de phishing.

Sectores mais visados:

• Ataques ao sector financeiro: 30,9% (incluindo pagamentos, bancos e criptomoedas)
• SaaS/Webmail (18%)
• Ataques BEC por transferência eletrónica: +33% em relação ao trimestre anterior

Abaixo estão os cinco esquemas mais comuns de phishing por correio eletrónico e estratégias práticas para os evitar.

1. Golpe da fatura falsa

Os autores de fraudes enviam frequentemente mensagens de correio eletrónico com facturas falsas, esperando que os empregados as paguem ou forneçam informações sensíveis.

Exemplos de facturas falsas incluem:

• Faturação de produtos antivírus ou de segurança
• Facturas em atraso de fornecedores falsos
• Notificações de expiração de domínio que avisam da suspensão do serviço
• Facturas de instituições de caridade ou de angariação de fundos que oferecem colocações de anúncios
• Ataques sofisticados de Business Email Compromise (BEC)

Como evitar fraudes com facturas falsas:

• Utiliza simulações de phishing baseadas em funções para o pessoal das finanças ou das contas a pagar.
• Dá formação aos empregados para reconhecerem linguagem urgente e ameaçadora nas facturas.
• Adapta as campanhas para refletir os desafios reais dos departamentos.

2. E-mails falsos de suporte técnico

Os burlões fazem-se muitas vezes passar por apoio técnico interno para criar urgência e manipular comportamentos. Estas mensagens de correio eletrónico podem exigir o início de sessão imediato ou a conformidade para aceder a informações pessoais ou aos sistemas da empresa.

Como evitar e-mails falsos de suporte técnico:

• Implementar formação geral de sensibilização para a segurança para todos os empregados.
• Educa o pessoal sobre as tácticas de manipulação, incluindo a urgência e as ameaças de disciplina.
• Utiliza exercícios de phishing simulados que imitam as comunicações internas do departamento.

3. Fraudes fiscais

Os e-mails de phishing relacionados com impostos prometem frequentemente reembolsos, mas são fraudulentos. O HMRC afirma que nunca envia notificações por correio eletrónico sobre descontos ou reembolsos. Os burlões reproduzem frequentemente a marca do HMRC e enviam ligações para páginas de início de sessão falsas, por vezes com malware incorporado.

Como evitar fraudes fiscais:

• Inclui as fraudes fiscais em exercícios de simulação de phishing para todo o pessoal.
• Concentra a formação adicional no pessoal do departamento financeiro, especialmente durante a época fiscal.
• Assegura-te de que os empregados nunca clicam em ligações em mensagens de correio eletrónico não solicitadas sobre impostos.

4. Problema com a conta de e-mail Phishing

Os cibercriminosos falsificam frequentemente a Microsoft, Google, LinkedIn, DHL e FedEx para enviar mensagens urgentes alegando problemas de conta. Estes e-mails contêm frequentemente links maliciosos que recolhem credenciais de início de sessão.

Como evitar e-mails de phishing com problemas de conta:

• Treina os funcionários para terem cuidado com os e-mails de marca que utilizam tácticas de urgência.
• Incorpora exercícios de phishing simulados que realcem a personificação de marcas conhecidas.
• Reforça os procedimentos de verificação de mensagens inesperadas relacionadas com a conta.

5. Golpes do Google Docs e do GSuite

Os burlões exploram plataformas de colaboração como o Google Docs. Um comentário fraudulento que utilize a notação @ pode desencadear um e-mail de notificação genuíno que contém uma ligação maliciosa.

Como evitar fraudes com comentários do GSuite:

• Utiliza formação de sensibilização para a segurança que abranja ferramentas de colaboração baseadas na nuvem.
• Assegura que as políticas especificam quem pode partilhar e comentar os documentos da empresa.
• Mantém o pessoal atualizado com as últimas informações sobre phishing e exercícios simulados.

Principais conclusões para a prevenção de phishing

• Os ataques de phishing são cada vez mais sofisticados e visam todos os empregados.
• A formação baseada em funções e os exercícios simulados de phishing são essenciais.
• Os programas contínuos de sensibilização para a segurança reduzem os riscos.
• Os empregados devem compreender as tácticas de manipulação do comportamento humano.
• A educação em matéria de cibersegurança deve ser actualizada regularmente para refletir a evolução das burlas.

Os ataques de phishing estão em constante evolução, tornando a sensibilização dos funcionários e a formação proactiva mais importantes do que nunca. Para reforçar as defesas da sua organização, explora a plataforma de Gestão do Risco Humano da MetaCompliance. A nossa plataforma fornece formação de sensibilização para a segurança baseada em funções, exercícios de phishing simulados e relatórios em tempo real para ajudar a reduzir o risco humano em toda a sua organização. Capacita as suas equipas para reconhecerem as ameaças, protegerem os dados sensíveis e criarem uma cultura de vigilância da cibersegurança.