O GUIA SUPREMO PARA PHISHING

Não deixe que o pessoal morda o isco!

ugtp-hand

No mundo cada vez mais digital de hoje, muito do que fazemos, seja por negócios ou por prazer, é realizado em linha. Este aumento da actividade online resultou numa explosão maciça da cibercriminalidade.

O cibercrime tornou-se uma ferramenta poderosa para os criminosos que procuram roubar os nossos dados pessoais e extorquir dinheiro. A rapidez, o anonimato e a conveniência da Internet permitiram aos criminosos lançar ataques altamente direccionados com muito pouco esforço.

De acordo com um relatório recente da empresa de cibersegurança Norton, os cibercriminosos roubaram um total de 130 mil milhões de libras dos consumidores em 2017, incluindo 4,6 mil milhões de libras dos utilizadores britânicos da Internet.

O mais bem sucedido e perigoso de todos os ciberataques é o phishing. A investigação descobriu que 91% de todos os ciberataques começam com um e-mail de phishing.

O Phishing continua a ser a forma mais comum de ciberataque devido à sua simplicidade, eficácia e elevado retorno do investimento. Tem evoluído desde os seus primórdios de enganar as pessoas com golpes do príncipe nigeriano e pedidos de tratamento médico de emergência. Os ataques de phishing que hoje em dia ocorrem são sofisticados, direccionados e cada vez mais difíceis de detectar.

O que é a Phishing?

O Guia Supremo de PhishingNo mundo cada vez mais digital de hoje, muito do que fazemos, seja por negócios ou por prazer, é realizado em linha. Este aumento da actividade online resultou numa explosão maciça da cibercriminalidade.

O cibercrime tornou-se uma ferramenta poderosa para os criminosos que procuram roubar os nossos dados pessoais e extorquir dinheiro. A rapidez, o anonimato e a conveniência da Internet permitiram aos criminosos lançar ataques altamente direccionados com muito pouco esforço.

De acordo com um relatório recente da empresa de cibersegurança Norton, os cibercriminosos roubaram um total de 130 mil milhões de libras dos consumidores em 2017, incluindo 4,6 mil milhões de libras dos utilizadores britânicos da Internet.

O mais bem sucedido e perigoso de todos os ciberataques é o phishing. A investigação descobriu que 91% de todos os ciberataques começam com um e-mail de phishing.

O Phishing continua a ser a forma mais comum de ciberataque devido à sua simplicidade, eficácia e elevado retorno do investimento. Tem evoluído desde os seus primórdios de enganar as pessoas com golpes do príncipe nigeriano e pedidos de tratamento médico de emergência. Os ataques de phishing que hoje em dia ocorrem são sofisticados, direccionados e cada vez mais difíceis de detectar.

O Guia Supremo de Phishing

O número assombroso de e-mails enviados todos os dias pelo mundo significa que é um método de ataque óbvio para os cibercriminosos. O Grupo Radicati estimou que 3,7 mil milhões de pessoas enviam cerca de 269 mil milhões de e-mails todos os dias.

O Guia Supremo de Phishing

Os investigadores da Symantec sugerem que quase um em cada 2.000 destes e-mails é um e-mail de phishing, o que significa que cerca de 135 milhões de ataques de phishing são tentados todos os dias.

Tipos de ataques de Phishing

Os ataques de phishing assumem muitas formas diferentes, mas o fio condutor comum a todos eles é a sua exploração do comportamento humano. Os exemplos seguintes são as formas mais comuns de ataque utilizadas.

O Guia Supremo de Phishing

Spear Phishing

Spear - Phishing é uma tentativa mais direccionada de roubar informação sensível e concentra-se tipicamente num indivíduo ou organização específicos. Estes tipos de ataque utilizam informação pessoal específica do indivíduo para parecerem legítimos.

Os cibercriminosos recorrem frequentemente aos meios de comunicação social e aos sites de empresas para investigar as suas vítimas. Assim que tiverem uma melhor compreensão do seu alvo, começarão a enviar e-mails personalizados que incluem links que, uma vez clicados, infectarão um computador com malware.

O Guia Supremo de Phishing

Pesca

Vishing refere-se a esquemas de phishing que têm lugar por telefone. Tem a interacção mais humana de todos os ataques de phishing, mas segue o mesmo padrão de engano. Os golpistas criam frequentemente um sentimento de urgência para convencer uma vítima a divulgar informações sensíveis.

A chamada será muitas vezes feita através de uma identificação falsificada, por isso parece vir de uma fonte de confiança. Um cenário típico envolverá o burlão a fazer-se passar por funcionário bancário para assinalar um comportamento suspeito numa conta. Assim que tiverem conquistado a confiança da vítima, solicitarão informações pessoais tais como dados de login, palavras-passe e pin. Os dados podem então ser utilizados para esvaziar contas bancárias ou cometer fraude de identidade.

O Guia Supremo de Phishing

Caça à baleia

O que distingue esta categoria de phishing das outras é a escolha de um alvo de alto nível. Um ataque à baleia é uma tentativa de roubar informação sensível e é frequentemente direccionado para a gestão de alto nível.

Os emails de pesca à baleia são muito mais sofisticados do que os emails de phishing do moinho e muito mais difíceis de detectar. As mensagens de correio electrónico contêm frequentemente informações personalizadas sobre o alvo ou organização, e a linguagem será mais corporativa no tom. Muito mais esforço e reflexão irão para a elaboração destes emails devido ao elevado nível de retorno para os cibercriminosos.

O Guia Supremo de Phishing

Smishing

Smishing é um tipo de phishing que utiliza mensagens SMS em oposição a e-mails para atingir indivíduos. É outra forma eficaz de cibercriminosos enganarem indivíduos na divulgação de informações pessoais, tais como detalhes de contas, detalhes de cartões de crédito ou nomes de utilizador e palavras-passe. Este método envolve o envio de uma mensagem de texto ao número de telefone de um indivíduo e normalmente inclui uma chamada para uma acção que requer uma resposta imediata.

O Guia Supremo de Phishing

Clone Phishing

Clone Phishing é onde um e-mail legítimo e previamente entregue é utilizado para criar um e-mail idêntico com conteúdo malicioso. O e-mail clonado parecerá vir do remetente original, mas será uma versão actualizada que contém ligações ou anexos maliciosos.

Como o Phishing pode prejudicar o seu negócio

Os ataques contra empresas quase duplicaram nos últimos cinco anos e os danos de um ataque de phishing a uma empresa podem ser devastadores. Ao longo dos anos, as empresas perderam milhares de milhões como resultado de ataques de phishing. A Microsoft estima que o custo potencial do crime cibernético para a comunidade global é espantoso: 500 biliões e uma violação de dados custará em média à empresa cerca de 3,8 milhões.

Apesar de possuírem as tecnologias de segurança e defesa mais fortes, os cibercriminosos explorarão frequentemente o elo mais fraco das defesas de uma empresa que é frequentemente os seus empregados. Apenas um erro humano pode resultar numa perda maciça de dados sensíveis.

A investigação da Cisco descobriu que 22% das organizações violadas perderam clientes na sequência imediata de um ataque, demonstrando a seriedade com que os consumidores levam a sério a segurança dos seus dados.

Um ataque de phishing bem sucedido pode resultar em:

roubo de identidade

Roubo de Identidade

roubo de dados sensíveis

Roubo de Dados Sensíveis

roubo de informação sobre a Viena

Roubo de Informação do Cliente

perda de nomes e palavras-passe

Perda de nomes de utilizador e palavra-passe

perda de intelectualidade-protecção

Perda de Propriedade Intelectual

roubo de fundos

Roubo de fundos de contas de empresas e clientes

danos de reputação

Danos Reputacionais

Transacções não autorizadas

Transacções não autorizadas

fraude de cartões de crédito

Fraude de Cartão de Crédito

instalação-de-mal-e-ransomware

Instalação de Malware e Ransomware

acesso aos sistemas para o lançamento de futuros ataques

Acesso a sistemas para lançar ataques futuros

data-sold-on-to-criminal-therceiro-parte

Dados assim para terceiros criminosos

É vital que as empresas tomem medidas para garantir que estão a fazer tudo o que podem para educar o pessoal sobre os perigos de um ataque de phishing. A formação dos funcionários sobre como reconhecer eficazmente uma tentativa de phishing é fundamental para mitigar o risco para uma organização.

Para mais informações sobre como pode proteger o seu negócio contra ataques de phishing, clique aqui.

Para mais informações

sobre como pode proteger o seu negócio de ataques de phishing

Dicas para ataques de phishing pontual

A identificação de um e-mail de phishing tornou-se muito mais difícil do que costumava ser à medida que os criminosos aperfeiçoaram as suas capacidades e se tornaram mais sofisticados nos seus métodos de ataque. Os e-mails de phishing que recebemos na nossa caixa de entrada estão cada vez mais bem escritos, personalizados, contêm os logótipos e a linguagem das marcas que conhecemos e em que confiamos e são elaborados de tal forma que é difícil distinguir entre um e-mail oficial e um e-mail duvidoso redigido por um burlão.

A McAfee estima que 97% das pessoas em todo o mundo são incapazes de identificar um e-mail sofisticado de phishing, pelo que os ciber-criminosos ainda estão a enganar com sucesso as pessoas para que estas forneçam informações pessoais ou descarreguem malware. Apesar da crescente sofisticação e natureza convincente destes emails, ainda existem alguns sinais de dar sinais que nos podem alertar para a presença de um email de phishing.

spotting-phishing

1. Um URL não correspondido

Uma das primeiras coisas a verificar num e-mail suspeito é a validade de um URL. Se passar o rato por cima do link sem clicar nele, deverá ver aparecer o endereço completo com hiperligação. Apesar de parecer perfeitamente legítimo, se o URL não corresponder ao endereço apresentado, é uma indicação de que a mensagem é fraudulenta e susceptível de ser um e-mail de phishing.

2. O e-mail solicita informações pessoais

Uma empresa respeitável nunca enviará um e-mail aos clientes a pedir informações pessoais tais como número de conta, palavra-passe, pin ou questões de segurança. Se receber uma mensagem de correio electrónico solicitando esta informação, é provável que se trate de uma mensagem de correio electrónico de phishing e deve ser imediatamente eliminada.

3. Falta de ortografia e gramática

Os cibercriminosos não são conhecidos pela sua ortografia e gramática de alta qualidade. Sempre que empresas legítimas enviam e-mails aos clientes, são frequentemente corrigidos por redactores para garantir que a ortografia e a gramática estão correctas. Se detectar qualquer erro ortográfico ou má gramática num e-mail, é pouco provável que tenha vindo de uma organização oficial e poderia indicar a presença de um e-mail de phishing.

4. A utilização de uma linguagem ameaçadora ou urgente

Uma táctica comum de phishing é promover um sentimento de medo ou urgência para apressar alguém a clicar num link. Os cibercriminosos utilizarão frequentemente ameaças de que a sua segurança foi comprometida e que é necessária uma acção urgente para remediar a situação. Tenha cuidado com as linhas de assunto que afirmam que a sua conta teve uma "tentativa de login não autorizada" ou que a sua "conta foi suspensa". Se não tiver a certeza se o pedido é legítimo, contacte a empresa directamente através do seu website oficial ou número de telefone oficial.

5. Correspondência inesperada

Se receber um e-mail informando-o de que ganhou um concurso em que não participou, ou um pedido de clicar num link para receber um prémio, é muito provável que seja um e-mail de phishing. Se uma oferta parecer demasiado boa para ser verdade, normalmente é!

Como proteger-se contra ataques de Phishing

O Guia Supremo de Phishing

1. Nunca clicar em links suspeitos

O tipo mais comum de esquema de phishing envolve enganar as pessoas na abertura de e-mails ou clicar num link que pode parecer vir de um negócio legítimo ou de uma fonte respeitável.

Ao criar um sentido de urgência, os utilizadores são induzidos a clicar num link ou a abrir um anexo que os acompanha. O link pode direccioná-lo para um site falso onde lhe é pedido para introduzir os seus dados pessoais ou levá-lo a um site que infecta directamente o seu computador com o serviço de resgate.

As empresas legítimas nunca enviarão e-mails solicitando-lhe que clique num link para introduzir ou actualizar dados pessoais.

O Guia Supremo de Phishing

2. Educar o pessoal

As empresas podem ter os sistemas de defesa de segurança mais fortes em vigor, mas oferece pouca protecção se os ciber-criminosos forem capazes de contornar estas defesas tecnológicas tradicionais e de chegar directamente a um empregado para os enganar na divulgação de informação sensível.

Mais de 90% de todos os ataques cibernéticos bem sucedidos são o resultado de informações fornecidas inconscientemente por empregados. À medida que as redes se tornam mais difíceis de violar, os hackers estão cada vez mais a visar o que consideram ser o elo mais fraco nas defesas de uma empresa - os seus empregados!

À medida que os hackers aperfeiçoam as suas técnicas e se tornam mais visados nos seus ataques, é importante educar o pessoal e fornecer formação regular sobre o que devem estar atentos e como podem desempenhar o seu papel na prevenção de um ciberataque.

Não deixe o seu o pessoal morde o isco!

MetaPhish foi especificamente concebido para proteger as empresas de ataques de phishing e resgate e fornece a primeira linha de defesa no combate ao ciber-crime. Se desejar mais informações sobre como isto pode ser utilizado para proteger e educar o seu pessoal.

O Guia Supremo de Phishing

3. Tenha cuidado com o que publica online

A Internet e os meios de comunicação social transformaram a forma como comunicamos uns com os outros no dia-a-dia, no entanto, esta cultura de partilha proporcionou aos cibercriminosos uma forma fácil de traçar o perfil de potenciais vítimas, assegurando que as suas tentativas de phishing são mais direccionadas e mais difíceis de detectar.

Os hackers estão a recorrer a sites de meios de comunicação social para acederem a informações pessoais tais como idade, profissão, endereço electrónico, localização e actividade social. O acesso a estes dados pessoais fornece aos hackers informação suficiente para lançar um ataque de phishing altamente direccionado e personalizado.

Para reduzir as suas hipóteses de cair num e-mail de phishing, pense mais cuidadosamente no que publica online, tire partido de opções de privacidade melhoradas, restrinja o acesso a quem não conhece, e crie palavras-passe fortes para todas as suas contas nos meios de comunicação social.

Leia o nosso guia para se proteger dos hackers

Para reduzir as suas hipóteses de cair num e-mail de phishing, pense mais cuidadosamente no que publica online, tire partido de opções de privacidade melhoradas, restrinja o acesso a quem não conhece, e crie palavras-passe fortes para todas as suas contas nos meios de comunicação social.

O Guia Supremo de Phishing
O Guia Supremo de Phishing

4. Verificar a segurança de um site

Antes de introduzir qualquer informação num website, deve sempre verificar se um site é seguro e protegido. A melhor maneira de o fazer é olhar para o URL de um sítio web. Se começar com um "https" em vez de "http", significa que o sítio foi protegido utilizando um Certificado SSL (S significa seguro). Os Certificados SSL asseguram que todos os seus dados são seguros, uma vez que são passados do seu navegador para o servidor do sítio web. Também deve haver um pequeno ícone de cadeado perto da barra de endereços que também indica que o sítio é seguro.

O Guia Supremo de Phishing

5. Instalar software anti-vírus

O software antivírus é a primeira linha de defesa na detecção de ameaças no seu computador e no bloqueio do acesso a utilizadores não autorizados. É também vital assegurar que o seu software seja actualizado regularmente para garantir que os hackers não possam ter acesso ao seu computador através de vulnerabilidades em programas mais antigos e desactualizados.