No mundo cada vez mais digital de hoje, muito do que fazemos, seja por negócios ou por prazer, é realizado em linha. Este aumento da actividade online resultou numa explosão maciça da cibercriminalidade.
O cibercrime tornou-se uma ferramenta poderosa para os criminosos que procuram roubar os nossos dados pessoais e extorquir dinheiro. A rapidez, o anonimato e a conveniência da Internet permitiram aos criminosos lançar ataques altamente direccionados com muito pouco esforço.
De acordo com um relatório recente da empresa de cibersegurança Norton, os cibercriminosos roubaram um total de 130 mil milhões de libras dos consumidores em 2017, incluindo 4,6 mil milhões de libras dos utilizadores britânicos da Internet.
O mais bem sucedido e perigoso de todos os ciberataques é o phishing. A investigação descobriu que 91% de todos os ciberataques começam com um e-mail de phishing.
O Phishing continua a ser a forma mais comum de ciberataque devido à sua simplicidade, eficácia e elevado retorno do investimento. Tem evoluído desde os seus primórdios de enganar as pessoas com golpes do príncipe nigeriano e pedidos de tratamento médico de emergência. Os ataques de phishing que hoje em dia ocorrem são sofisticados, direccionados e cada vez mais difíceis de detectar.
O número assombroso de e-mails enviados todos os dias pelo mundo significa que é um método de ataque óbvio para os cibercriminosos. O Grupo Radicati estimou que 3,7 mil milhões de pessoas enviam cerca de 269 mil milhões de e-mails todos os dias.
Os investigadores da Symantec sugerem que quase um em cada 2.000 destes e-mails é um e-mail de phishing, o que significa que cerca de 135 milhões de ataques de phishing são tentados todos os dias.
Os ataques de phishing assumem muitas formas diferentes, mas o fio condutor comum a todos eles é a sua exploração do comportamento humano. Os exemplos seguintes são as formas mais comuns de ataque utilizadas.
Spear - Phishing é uma tentativa mais direcionada para roubar informações sensíveis e, normalmente, centra-se num indivíduo ou organização específicos. Estes tipos de ataque utilizam informações pessoais específicas do indivíduo para parecerem legítimas.
Os cibercriminosos recorrem frequentemente às redes sociais e aos sítios Web das empresas para pesquisar as suas vítimas. Depois de conhecerem melhor o seu alvo, começam a enviar e-mails personalizados que incluem links que, uma vez clicados, infectam o computador com malware
O vishing refere-se a esquemas de phishing que têm lugar através do telefone. Tem a maior interação humana de todos os ataques de phishing, mas segue o mesmo padrão de engano. Os burlões criam frequentemente um sentimento de urgência para convencer a vítima a divulgar informações sensíveis.
Muitas vezes, a chamada é feita através de uma identificação falsa, para parecer que vem de uma fonte fiável. Um cenário típico envolve o burlão que se faz passar por um funcionário do banco para assinalar um comportamento suspeito numa conta. Depois de ganharem a confiança da vítima, pedem-lhe informações pessoais, como detalhes de login, palavras-passe e PIN. Os dados podem então ser utilizados para esvaziar contas bancárias ou cometer fraude de identidade.
O que distingue esta categoria de phishing das outras é a escolha de alto nível do alvo. Um ataque whaling é uma tentativa de roubar informações sensíveis e é frequentemente dirigido aos quadros superiores.
As mensagens de correio eletrónico de "whaling" são muito mais sofisticadas do que as mensagens de phishing comuns e muito mais difíceis de detetar. As mensagens de correio eletrónico contêm frequentemente informações personalizadas sobre o alvo ou a organização e o tom da linguagem é mais corporativo. A elaboração destas mensagens de correio eletrónico exige muito mais esforço e reflexão, devido ao elevado nível de retorno para os cibercriminosos.
Smishing é um tipo de phishing que utiliza mensagens SMS em oposição a e-mails para atingir indivíduos. É outra forma eficaz de cibercriminosos enganarem indivíduos na divulgação de informações pessoais, tais como detalhes de contas, detalhes de cartões de crédito ou nomes de utilizador e palavras-passe. Este método envolve o envio de uma mensagem de texto ao número de telefone de um indivíduo e normalmente inclui uma chamada para uma acção que requer uma resposta imediata.
Clone Phishing é onde um e-mail legítimo e previamente entregue é utilizado para criar um e-mail idêntico com conteúdo malicioso. O e-mail clonado parecerá vir do remetente original, mas será uma versão actualizada que contém ligações ou anexos maliciosos.
Os ataques contra empresas quase duplicaram nos últimos cinco anos e os danos de um ataque de phishing a uma empresa podem ser devastadores. Ao longo dos anos, as empresas perderam milhares de milhões como resultado de ataques de phishing. A Microsoft estima que o custo potencial do crime cibernético para a comunidade global é espantoso: 500 biliões e uma violação de dados custará em média à empresa cerca de 3,8 milhões.
Apesar de possuírem as tecnologias de segurança e defesa mais fortes, os cibercriminosos explorarão frequentemente o elo mais fraco das defesas de uma empresa que é frequentemente os seus empregados. Apenas um erro humano pode resultar numa perda maciça de dados sensíveis.
A investigação da Cisco descobriu que 22% das organizações violadas perderam clientes na sequência imediata de um ataque, demonstrando a seriedade com que os consumidores levam a sério a segurança dos seus dados.
Roubo de Identidade
Roubo de Dados Sensíveis
Roubo de Informação do Cliente
Perda de nomes de utilizador e palavra-passe
Perda de Propriedade Intelectual
Roubo de fundos de contas de empresas e clientes
Danos Reputacionais
Transacções não autorizadas
Fraude de Cartão de Crédito
Instalação de Malware e Ransomware
Acesso a sistemas para lançar ataques futuros
Dados assim para terceiros criminosos
É vital que as empresas tomem medidas para garantir que estão a fazer tudo o que podem para educar o pessoal sobre os perigos de um ataque de phishing. A formação dos funcionários sobre como reconhecer eficazmente uma tentativa de phishing é fundamental para mitigar o risco para uma organização.
Para mais informações sobre como pode proteger a sua empresa contra ataques de phishing, clique aqui.
A identificação de um e-mail de phishing tornou-se muito mais difícil do que costumava ser à medida que os criminosos aperfeiçoaram as suas capacidades e se tornaram mais sofisticados nos seus métodos de ataque. Os e-mails de phishing que recebemos na nossa caixa de entrada estão cada vez mais bem escritos, personalizados, contêm os logótipos e a linguagem das marcas que conhecemos e em que confiamos e são elaborados de tal forma que é difícil distinguir entre um e-mail oficial e um e-mail duvidoso redigido por um burlão.
A McAfee estima que 97% das pessoas em todo o mundo são incapazes de identificar um e-mail sofisticado de phishing, pelo que os ciber-criminosos ainda estão a enganar com sucesso as pessoas para que estas forneçam informações pessoais ou descarreguem malware. Apesar da crescente sofisticação e natureza convincente destes emails, ainda existem alguns sinais de dar sinais que nos podem alertar para a presença de um email de phishing.
O tipo mais comum de esquema de phishing envolve enganar as pessoas na abertura de e-mails ou clicar num link que pode parecer vir de um negócio legítimo ou de uma fonte respeitável.
Ao criar um sentido de urgência, os utilizadores são induzidos a clicar num link ou a abrir um anexo que os acompanha. O link pode direccioná-lo para um site falso onde lhe é pedido para introduzir os seus dados pessoais ou levá-lo a um site que infecta directamente o seu computador com o serviço de resgate.
As empresas legítimas nunca enviarão e-mails solicitando-lhe que clique num link para introduzir ou actualizar dados pessoais.
As empresas podem ter os sistemas de defesa de segurança mais fortes em vigor, mas oferece pouca protecção se os ciber-criminosos forem capazes de contornar estas defesas tecnológicas tradicionais e de chegar directamente a um empregado para os enganar na divulgação de informação sensível.
Mais de 90% de todos os ataques cibernéticos bem sucedidos são o resultado de informações fornecidas inconscientemente por empregados. À medida que as redes se tornam mais difíceis de violar, os hackers estão cada vez mais a visar o que consideram ser o elo mais fraco nas defesas de uma empresa - os seus empregados!
À medida que os hackers aperfeiçoam as suas técnicas e se tornam mais visados nos seus ataques, é importante educar o pessoal e fornecer formação regular sobre o que devem estar atentos e como podem desempenhar o seu papel na prevenção de um ciberataque.
MetaPhish foi especificamente concebido para proteger as empresas de ataques de phishing e resgate e fornece a primeira linha de defesa no combate ao ciber-crime. Se desejar mais informações sobre como isto pode ser utilizado para proteger e educar o seu pessoal.
A Internet e os meios de comunicação social transformaram a forma como comunicamos uns com os outros no dia-a-dia, no entanto, esta cultura de partilha proporcionou aos cibercriminosos uma forma fácil de traçar o perfil de potenciais vítimas, assegurando que as suas tentativas de phishing são mais direccionadas e mais difíceis de detectar.
Os hackers estão a recorrer a sites de meios de comunicação social para acederem a informações pessoais tais como idade, profissão, endereço electrónico, localização e actividade social. O acesso a estes dados pessoais fornece aos hackers informação suficiente para lançar um ataque de phishing altamente direccionado e personalizado.
Para reduzir as suas hipóteses de cair num e-mail de phishing, pense mais cuidadosamente no que publica online, tire partido de opções de privacidade melhoradas, restrinja o acesso a quem não conhece, e crie palavras-passe fortes para todas as suas contas nos meios de comunicação social.
Para reduzir as suas hipóteses de cair num e-mail de phishing, pense mais cuidadosamente no que publica online, tire partido de opções de privacidade melhoradas, restrinja o acesso a quem não conhece, e crie palavras-passe fortes para todas as suas contas nos meios de comunicação social.
Antes de introduzir qualquer informação num website, deve sempre verificar se um site é seguro e protegido. A melhor maneira de o fazer é olhar para o URL de um sítio web. Se começar com um "https" em vez de "http", significa que o sítio foi protegido utilizando um Certificado SSL (S significa seguro). Os Certificados SSL asseguram que todos os seus dados são seguros, uma vez que são passados do seu navegador para o servidor do sítio web. Também deve haver um pequeno ícone de cadeado perto da barra de endereços que também indica que o sítio é seguro.
O software antivírus é a primeira linha de defesa na detecção de ameaças no seu computador e no bloqueio do acesso a utilizadores não autorizados. É também vital assegurar que o seu software seja actualizado regularmente para garantir que os hackers não possam ter acesso ao seu computador através de vulnerabilidades em programas mais antigos e desactualizados.
Peça hoje uma demonstração gratuita e veja como a nossa Formação de Sensibilização para a Segurança Cibernética de classe mundial pode beneficiar a sua organização.
A demonstração leva apenas 30 minutos do seu tempo e não precisa de instalar qualquer software.
Pedir demonstração - Teste do cabeçalho
As informações pessoais que nos fornecer neste formulário só serão utilizadas pela MetaCompliance (como Controlador de Dados) para os seguintes fins especificamente definidos: