Não deixe que o pessoal morda o isco!
No mundo cada vez mais digital de hoje, muito do que fazemos, seja por negócios ou por prazer, é realizado em linha. Este aumento da actividade online resultou numa explosão maciça da cibercriminalidade.
O cibercrime tornou-se uma ferramenta poderosa para os criminosos que procuram roubar os nossos dados pessoais e extorquir dinheiro. A rapidez, o anonimato e a conveniência da Internet permitiram aos criminosos lançar ataques altamente direccionados com muito pouco esforço.
De acordo com um relatório recente da empresa de cibersegurança Norton, os cibercriminosos roubaram um total de 130 mil milhões de libras dos consumidores em 2017, incluindo 4,6 mil milhões de libras dos utilizadores britânicos da Internet.
O mais bem sucedido e perigoso de todos os ciberataques é o phishing. A investigação descobriu que 91% de todos os ciberataques começam com um e-mail de phishing.
O Phishing continua a ser a forma mais comum de ciberataque devido à sua simplicidade, eficácia e elevado retorno do investimento. Tem evoluído desde os seus primórdios de enganar as pessoas com golpes do príncipe nigeriano e pedidos de tratamento médico de emergência. Os ataques de phishing que hoje em dia ocorrem são sofisticados, direccionados e cada vez mais difíceis de detectar.
Dans le monde de plus en plus numérique d'aujourd'hui, une grande partie de nos activités, qu'il s'agisse d'affaires ou de loisirs, se déroulent en ligne. Cette augmentation de l'activité en ligne a entraîné une explosion massive de la cybercriminalité.
Les techniques d'ingénierie sociale sont devenues un outil puissant pour les cybercriminels qui cherchent à voler nos données personnelles pour extorquer de l'argent. La vitesse, l'anonymat et la commodité d'Internet leur ont permis de lancer des cyberattaques très ciblées avec très peu d'efforts.
Selon une récente étude sur la protection des données de Dell Technologies, en 2021, 37 % des entreprises disaient avoir subi un incident cyber avec perte d'accès aux données. En 2022, elles étaient 48 % et la cyberattaque est devenue la première cause d'interruption d'activité avec 86 % des organisations ayant connu au moins une interruption de service au cours des douze derniers mois.
La plus réussie et la plus dangereuse de toutes les cyberattaques est l'hameçonnage. Des recherches ont montré que 91 % de toutes les cyberattaques commencent par un courriel de phishing.
Le phishing reste la forme la plus courante de cyberattaque en raison de sa simplicité, de son efficacité et de son retour sur investissement élevé. Il a évolué depuis ses premiers jours où il consistait à tromper les gens avec des arnaques nigérianes et des demandes de soins médicaux d'urgence. Os anexos por categoria que não se encontram no lugar certo são sofistiques, ciblées et de plus en plus difficiles à repérer.
O número assombroso de e-mails enviados todos os dias pelo mundo significa que é um método de ataque óbvio para os cibercriminosos. O Grupo Radicati estimou que 3,7 mil milhões de pessoas enviam cerca de 269 mil milhões de e-mails todos os dias.
Os investigadores da Symantec sugerem que quase um em cada 2.000 destes e-mails é um e-mail de phishing, o que significa que cerca de 135 milhões de ataques de phishing são tentados todos os dias.
Os ataques de phishing assumem muitas formas diferentes, mas o fio condutor comum a todos eles é a sua exploração do comportamento humano. Os exemplos seguintes são as formas mais comuns de ataque utilizadas.
Spear - Phishing é uma tentativa mais direccionada de roubar informação sensível e concentra-se tipicamente num indivíduo ou organização específicos. Estes tipos de ataque utilizam informação pessoal específica do indivíduo para parecerem legítimos. Os cibercriminosos recorrem frequentemente aos meios de comunicação social e aos sites de empresas para investigar as suas vítimas. Assim que tiverem uma melhor compreensão do seu alvo, começarão a enviar e-mails personalizados que incluem links que, uma vez clicados, infectarão um computador com malware.
Vishing refere-se a esquemas de phishing que têm lugar por telefone. Tem a interacção mais humana de todos os ataques de phishing, mas segue o mesmo padrão de engano. Os golpistas criam frequentemente um sentimento de urgência para convencer uma vítima a divulgar informações sensíveis. A chamada será muitas vezes feita através de uma identificação falsificada, por isso parece vir de uma fonte de confiança. Um cenário típico envolverá o burlão a fazer-se passar por funcionário bancário para assinalar um comportamento suspeito numa conta. Assim que tiverem conquistado a confiança da vítima, solicitarão informações pessoais tais como dados de login, palavras-passe e pin. Os dados podem então ser utilizados para esvaziar contas bancárias ou cometer fraude de identidade.
O que distingue esta categoria de phishing das outras é a escolha de um alvo de alto nível. Um ataque à baleia é uma tentativa de roubar informação sensível e é frequentemente direccionado para a gestão de alto nível. Os emails de pesca à baleia são muito mais sofisticados do que os emails de phishing do moinho e muito mais difíceis de detectar. As mensagens de correio electrónico contêm frequentemente informações personalizadas sobre o alvo ou organização, e a linguagem será mais corporativa no tom. Muito mais esforço e reflexão irão para a elaboração destes emails devido ao elevado nível de retorno para os cibercriminosos.
Smishing é um tipo de phishing que utiliza mensagens SMS em oposição a e-mails para atingir indivíduos. É outra forma eficaz de cibercriminosos enganarem indivíduos na divulgação de informações pessoais, tais como detalhes de contas, detalhes de cartões de crédito ou nomes de utilizador e palavras-passe. Este método envolve o envio de uma mensagem de texto ao número de telefone de um indivíduo e normalmente inclui uma chamada para uma acção que requer uma resposta imediata.
Clone Phishing é onde um e-mail legítimo e previamente entregue é utilizado para criar um e-mail idêntico com conteúdo malicioso. O e-mail clonado parecerá vir do remetente original, mas será uma versão actualizada que contém ligações ou anexos maliciosos.
Os ataques contra empresas quase duplicaram nos últimos cinco anos e os danos de um ataque de phishing a uma empresa podem ser devastadores. Ao longo dos anos, as empresas perderam milhares de milhões como resultado de ataques de phishing. A Microsoft estima que o custo potencial do crime cibernético para a comunidade global é espantoso: 500 biliões e uma violação de dados custará em média à empresa cerca de 3,8 milhões.
Apesar de possuírem as tecnologias de segurança e defesa mais fortes, os cibercriminosos explorarão frequentemente o elo mais fraco das defesas de uma empresa que é frequentemente os seus empregados. Apenas um erro humano pode resultar numa perda maciça de dados sensíveis.
A investigação da Cisco descobriu que 22% das organizações violadas perderam clientes na sequência imediata de um ataque, demonstrando a seriedade com que os consumidores levam a sério a segurança dos seus dados.
Roubo de Identidade
Roubo de Dados Sensíveis
Roubo de Informação do Cliente
Perda de nomes de utilizador e palavra-passe
Perda de Propriedade Intelectual
Roubo de fundos de contas de empresas e clientes
Danos Reputacionais
Transacções não autorizadas
Fraude de Cartão de Crédito
Instalação de Malware e Ransomware
Acesso a sistemas para lançar ataques futuros
Dados assim para terceiros criminosos
É vital que as empresas tomem medidas para garantir que estão a fazer tudo o que podem para educar o pessoal sobre os perigos de um ataque de phishing. A formação dos funcionários sobre como reconhecer eficazmente uma tentativa de phishing é fundamental para mitigar o risco para uma organização.
Para mais informações sobre como pode proteger o seu negócio contra ataques de phishing, clique aqui.
sobre como pode proteger o seu negócio de ataques de phishing
A identificação de um e-mail de phishing tornou-se muito mais difícil do que costumava ser à medida que os criminosos aperfeiçoaram as suas capacidades e se tornaram mais sofisticados nos seus métodos de ataque. Os e-mails de phishing que recebemos na nossa caixa de entrada estão cada vez mais bem escritos, personalizados, contêm os logótipos e a linguagem das marcas que conhecemos e em que confiamos e são elaborados de tal forma que é difícil distinguir entre um e-mail oficial e um e-mail duvidoso redigido por um burlão.
A McAfee estima que 97% das pessoas em todo o mundo são incapazes de identificar um e-mail sofisticado de phishing, pelo que os ciber-criminosos ainda estão a enganar com sucesso as pessoas para que estas forneçam informações pessoais ou descarreguem malware. Apesar da crescente sofisticação e natureza convincente destes emails, ainda existem alguns sinais de dar sinais que nos podem alertar para a presença de um email de phishing.
Uma empresa respeitável nunca enviará um e-mail aos clientes a pedir informações pessoais tais como número de conta, palavra-passe, pin ou questões de segurança. Se receber uma mensagem de correio electrónico solicitando esta informação, é provável que se trate de uma mensagem de correio electrónico de phishing e deve ser imediatamente eliminada.
Os cibercriminosos não são conhecidos pela sua ortografia e gramática de alta qualidade. Sempre que empresas legítimas enviam e-mails aos clientes, são frequentemente corrigidos por redactores para garantir que a ortografia e a gramática estão correctas. Se detectar qualquer erro ortográfico ou má gramática num e-mail, é pouco provável que tenha vindo de uma organização oficial e poderia indicar a presença de um e-mail de phishing.
Uma táctica comum de phishing é promover um sentimento de medo ou urgência para apressar alguém a clicar num link. Os cibercriminosos utilizarão frequentemente ameaças de que a sua segurança foi comprometida e que é necessária uma acção urgente para remediar a situação. Tenha cuidado com as linhas de assunto que afirmam que a sua conta teve uma "tentativa de login não autorizada" ou que a sua "conta foi suspensa". Se não tiver a certeza se o pedido é legítimo, contacte a empresa directamente através do seu website oficial ou número de telefone oficial.
Se receber um e-mail informando-o de que ganhou um concurso em que não participou, ou um pedido de clicar num link para receber um prémio, é muito provável que seja um e-mail de phishing. Se uma oferta parecer demasiado boa para ser verdade, normalmente é!
O tipo mais comum de esquema de phishing envolve enganar as pessoas na abertura de e-mails ou clicar num link que pode parecer vir de um negócio legítimo ou de uma fonte respeitável.
Ao criar um sentido de urgência, os utilizadores são induzidos a clicar num link ou a abrir um anexo que os acompanha. O link pode direccioná-lo para um site falso onde lhe é pedido para introduzir os seus dados pessoais ou levá-lo a um site que infecta directamente o seu computador com o serviço de resgate.
As empresas legítimas nunca enviarão e-mails solicitando-lhe que clique num link para introduzir ou actualizar dados pessoais.
As empresas podem ter os sistemas de defesa de segurança mais fortes em vigor, mas oferece pouca protecção se os ciber-criminosos forem capazes de contornar estas defesas tecnológicas tradicionais e de chegar directamente a um empregado para os enganar na divulgação de informação sensível.
Mais de 90% de todos os ataques cibernéticos bem sucedidos são o resultado de informações fornecidas inconscientemente por empregados. À medida que as redes se tornam mais difíceis de violar, os hackers estão cada vez mais a visar o que consideram ser o elo mais fraco nas defesas de uma empresa - os seus empregados!
À medida que os hackers aperfeiçoam as suas técnicas e se tornam mais visados nos seus ataques, é importante educar o pessoal e fornecer formação regular sobre o que devem estar atentos e como podem desempenhar o seu papel na prevenção de um ciberataque.
MetaPhish foi especificamente concebido para proteger as empresas de ataques de phishing e resgate e fornece a primeira linha de defesa no combate ao ciber-crime. Se desejar mais informações sobre como isto pode ser utilizado para proteger e educar o seu pessoal.
A Internet e os meios de comunicação social transformaram a forma como comunicamos uns com os outros no dia-a-dia, no entanto, esta cultura de partilha proporcionou aos cibercriminosos uma forma fácil de traçar o perfil de potenciais vítimas, assegurando que as suas tentativas de phishing são mais direccionadas e mais difíceis de detectar.
Os hackers estão a recorrer a sites de meios de comunicação social para acederem a informações pessoais tais como idade, profissão, endereço electrónico, localização e actividade social. O acesso a estes dados pessoais fornece aos hackers informação suficiente para lançar um ataque de phishing altamente direccionado e personalizado.
Para reduzir as suas hipóteses de cair num e-mail de phishing, pense mais cuidadosamente no que publica online, tire partido de opções de privacidade melhoradas, restrinja o acesso a quem não conhece, e crie palavras-passe fortes para todas as suas contas nos meios de comunicação social.
Para reduzir as suas hipóteses de cair num e-mail de phishing, pense mais cuidadosamente no que publica online, tire partido de opções de privacidade melhoradas, restrinja o acesso a quem não conhece, e crie palavras-passe fortes para todas as suas contas nos meios de comunicação social.
Antes de introduzir qualquer informação num website, deve sempre verificar se um site é seguro e protegido. A melhor maneira de o fazer é olhar para o URL de um sítio web. Se começar com um "https" em vez de "http", significa que o sítio foi protegido utilizando um Certificado SSL (S significa seguro). Os Certificados SSL asseguram que todos os seus dados são seguros, uma vez que são passados do seu navegador para o servidor do sítio web. Também deve haver um pequeno ícone de cadeado perto da barra de endereços que também indica que o sítio é seguro.
O software antivírus é a primeira linha de defesa na detecção de ameaças no seu computador e no bloqueio do acesso a utilizadores não autorizados. É também vital assegurar que o seu software seja actualizado regularmente para garantir que os hackers não possam ter acesso ao seu computador através de vulnerabilidades em programas mais antigos e desactualizados.
As informações pessoais que nos fornecer neste formulário só serão utilizadas pela MetaCompliance (como Controlador de Dados) para os seguintes fins especificamente definidos: