O guia definitivo para o phishing

O que é o phishing?

No mundo cada vez mais digital de hoje, grande parte do que fazemos, seja em trabalho ou em lazer, é feito em linha. Este aumento da atividade em linha resultou numa explosão maciça da cibercriminalidade.

O cibercrime tornou-se uma ferramenta poderosa para os criminosos que procuram roubar os nossos dados pessoais e extorquir dinheiro. A velocidade, o anonimato e a comodidade da Internet permitiram aos criminosos lançar ataques altamente direcionados com muito pouco esforço.

De acordo com um relatório recente da empresa de cibersegurança Norton, os cibercriminosos roubaram um total de 130 mil milhões de libras dos consumidores em 2017, incluindo 4,6 mil milhões de libras dos utilizadores britânicos da Internet.

O mais bem sucedido e perigoso de todos os ciberataques é o phishing. Estudos revelaram que 91% de todos os ciberataques começam com um e-mail de phishing.

O phishing continua a ser a forma mais comum de ciberataque devido à sua simplicidade, eficácia e elevado retorno do investimento. Evoluiu desde os seus primórdios, quando enganava as pessoas com esquemas de príncipes nigerianos e pedidos de tratamento médico de emergência. Os ataques de phishing que ocorrem atualmente são sofisticados, direcionados e cada vez mais difíceis de detetar.

Tipos de ataques de phishing

Os ataques de phishing assumem muitas formas diferentes, mas o traço comum a todos eles é a exploração do comportamento humano. Os exemplos que se seguem são as formas mais comuns de ataque utilizadas.

Spear - Phishing é uma tentativa mais direcionada para roubar informações sensíveis e, normalmente, centra-se num indivíduo ou organização específicos. Este tipo de ataque utiliza informações pessoais que são específicas do indivíduo para parecerem legítimas. Os cibercriminosos recorrem frequentemente às redes sociais e aos sites das empresas para pesquisar as suas vítimas. Depois de conhecerem melhor o seu alvo, começam a enviar e-mails personalizados que incluem links que, uma vez clicados, infectam o computador com malware

Vishing refere-se a esquemas de phishing que ocorrem por telefone. Tem a maior interação humana de todos os ataques de phishing, mas segue o mesmo padrão de engano. Os burlões criam frequentemente um sentimento de urgência para convencer a vítima a divulgar informações sensíveis. Muitas vezes, a chamada é feita através de um ID falsificado, para parecer que vem de uma fonte de confiança. Um cenário típico é o burlão fazer-se passar por um funcionário do banco para assinalar um comportamento suspeito numa conta. Depois de ganhar a confiança da vítima, pede-lhe informações pessoais, como detalhes de login, palavras-passe e PIN. Os dados podem então ser utilizados para esvaziar contas bancárias ou cometer fraude de identidade.

O que distingue esta categoria de phishing das outras é a escolha de alto nível do alvo. Um ataque "whaling" é uma tentativa de roubar informações sensíveis e é frequentemente dirigido aos quadros superiores. As mensagens de correio eletrónico de "whaling" são muito mais sofisticadas do que as mensagens de phishing comuns e muito mais difíceis de detetar. Os e-mails contêm frequentemente informações personalizadas sobre o alvo ou a organização e a linguagem é mais corporativa. A elaboração destes e-mails exige muito mais esforço e reflexão, devido ao elevado nível de retorno para os cibercriminosos.

O smishing é um tipo de phishing que utiliza mensagens SMS em vez de e-mails para atingir os indivíduos. É outra forma eficaz de os cibercriminosos enganarem os indivíduos para que divulguem informações pessoais, como detalhes de contas, detalhes de cartões de crédito ou nomes de utilizador e palavras-passe. Este método implica que o fraudador envie uma mensagem de texto para o número de telefone de um indivíduo e, normalmente, inclui um apelo à ação que exige uma resposta imediata.

Clone Phishing é quando um e-mail legítimo e previamente entregue é utilizado para criar um e-mail idêntico com conteúdo malicioso. O e-mail clonado parecerá vir do remetente original, mas será uma versão actualizada que contém links ou anexos maliciosos.

Como o phishing pode prejudicar o teu negócio

Os ataques contra empresas quase duplicaram nos últimos cinco anos e os danos causados por um ataque de phishing a uma empresa podem ser devastadores. Ao longo dos anos, as empresas perderam milhares de milhões em resultado de ataques de phishing. A Microsoft estima que o custo potencial do cibercrime para a comunidade global é de 500 mil milhões de euros e que uma violação de dados custará a uma empresa média cerca de 3,8 milhões de euros. Apesar de disporem das mais fortes tecnologias de segurança e defesa, os cibercriminosos exploram frequentemente o elo mais fraco das defesas de uma empresa, que são muitas vezes os seus empregados. Um único erro humano pode resultar numa perda maciça de dados sensíveis. Um estudo da Cisco concluiu que 22% das organizações que sofreram violações perderam clientes imediatamente a seguir a um ataque, o que demonstra até que ponto os consumidores levam a sério a segurança dos seus dados.

Roubo de identidade

Roubo de dados sensíveis

Roubo de informações de clientes

Perda de nomes de utilizador e palavras-passe

Perda de propriedade intelectual

Roubo de fundos de contas de empresas e clientes

Danos à reputação

Transacções não autorizadas

Fraude com cartões de crédito

Instalação de Malware e Ransomware

Acesso a sistemas para lançar futuros ataques

Dados vendidos a terceiros criminosos

Dicas importantes para detetar ataques de phishing

Identificar um e-mail de phishing tornou-se muito mais difícil do que costumava ser, pois os criminosos aperfeiçoaram as suas capacidades e tornaram-se mais sofisticados nos seus métodos de ataque. Os e-mails de phishing que recebemos na nossa caixa de correio eletrónico são cada vez mais bem escritos, personalizados, contêm os logótipos e a linguagem de marcas que conhecemos e em que confiamos e são elaborados de tal forma que é difícil distinguir entre um e-mail oficial e um e-mail duvidoso elaborado por um burlão.

A McAfee estima que 97% das pessoas em todo o mundo não são capazes de identificar um e-mail de phishing sofisticado, pelo que os cibercriminosos continuam a conseguir enganar as pessoas para que forneçam informações pessoais ou descarreguem malware. Apesar da sofisticação crescente e da natureza convincente destes e-mails, existem ainda alguns sinais que nos podem alertar para a presença de um e-mail de phishing.

Dicas importantes para detetar ataques de phishing

Um URL incompatível

Uma das primeiras coisas a verificar num e-mail suspeito é a validade de um URL. Se passares o rato por cima da ligação sem clicar nela, deves ver o endereço completo da hiperligação. Apesar de parecer perfeitamente legítimo, se o URL não corresponder ao endereço apresentado, é uma indicação de que a mensagem é fraudulenta e, provavelmente, um e-mail de phishing.

O e-mail solicita informações pessoais

Uma empresa com boa reputação nunca enviará um e-mail aos clientes a pedir informações pessoais, como o número da conta, a palavra-passe, o pin ou perguntas de segurança. Se receberes uma mensagem de correio eletrónico a pedir estas informações, é provável que se trate de uma mensagem de phishing e deve ser imediatamente eliminada.

Ortografia e gramática incorrectas

Os cibercriminosos não são conhecidos pela sua ortografia e gramática de alta qualidade. Sempre que as empresas legítimas enviam e-mails aos clientes, estes são frequentemente revistos por redactores para garantir que a ortografia e a gramática estão corretas. Se detectares erros ortográficos ou má gramática numa mensagem de correio eletrónico, é pouco provável que tenha vindo de uma organização oficial e pode indicar a presença de uma mensagem de phishing.

A utilização de linguagem ameaçadora ou urgente

Uma tática comum de phishing é promover um sentimento de medo ou urgência para apressar alguém a clicar numa ligação. Os cibercriminosos utilizam frequentemente ameaças de que a tua segurança foi comprometida e que é necessário tomar medidas urgentes para remediar a situação. Tem cuidado com as linhas de assunto que afirmam que a tua conta sofreu uma “tentativa de início de sessão não autorizada” ou que a tua “conta foi suspensa”. Se não tiveres a certeza de que o pedido é legítimo, contacta a empresa diretamente através do seu site oficial ou do número de telefone oficial.

Correspondência inesperada

Se receberes um e-mail a informar-te de que ganhaste um concurso em que não participaste, ou a pedir-te que cliques numa ligação para receberes um prémio, é muito provável que se trate de um e-mail de phishing. Se uma oferta parecer demasiado boa para ser verdade, normalmente é!

Como te protegeres contra ataques de phishing

1. Nunca cliques em ligações suspeitas

O tipo mais comum de esquema de phishing envolve enganar as pessoas para que abram e-mails ou cliquem num link que pode parecer vir de uma empresa legítima ou de uma fonte respeitável.

Ao criar um sentimento de urgência, os utilizadores são levados a clicar numa ligação ou a abrir um anexo que a acompanha. A hiperligação pode direcionar o utilizador para um site falso onde lhe é pedido que introduza os seus dados pessoais ou levá-lo para um site que infecta diretamente o computador com ransomware.

As empresas legítimas nunca enviarão mensagens de correio eletrónico a pedir que cliques numa ligação para introduzir ou atualizar dados pessoais.

Testes de phishing simulados para funcionários

2. Educa o pessoal

As empresas podem ter os mais fortes sistemas de defesa de segurança, mas isso oferece pouca proteção se os cibercriminosos conseguirem contornar estas defesas tecnológicas tradicionais e chegar diretamente a um empregado para o levar a divulgar informações sensíveis.

Mais de 90% de todos os ataques informáticos bem sucedidos resultam de informações fornecidas inadvertidamente por funcionários. À medida que as redes se tornam mais difíceis de violar, os piratas informáticos estão cada vez mais a visar o que consideram ser o elo mais fraco das defesas de uma empresa – os seus funcionários!

À medida que os piratas informáticos aperfeiçoam as suas técnicas e se tornam mais direcionados para os seus ataques, é importante educar o pessoal e dar-lhes formação regular sobre o que devem ter em atenção e como podem desempenhar o seu papel na prevenção de um ciberataque.

Não deixes que o teu pessoal morda o isco!

O MetaPhish foi concebido especificamente para proteger as empresas contra ataques de phishing e ransomware e constitui a primeira linha de defesa no combate ao cibercrime. Se quiseres obter mais informações sobre a forma como este produto pode ser utilizado para proteger e educar o teu pessoal, podes contactar-nos.

Phishing e Ransomware

3. Tem cuidado com o que publicas na Internet

A Internet e as redes sociais transformaram a forma como comunicamos uns com os outros no dia a dia. No entanto, esta cultura de partilha proporcionou aos cibercriminosos uma forma fácil de traçar o perfil de potenciais vítimas, garantindo que as suas tentativas de phishing são mais direcionadas e mais difíceis de detetar.

Os hackers estão a recorrer aos sites das redes sociais para aceder a informações pessoais como a idade, o cargo, o endereço de e-mail, a localização e a atividade social. O acesso a estes dados pessoais fornece aos hackers informações suficientes para lançar um ataque de phishing altamente direcionado e personalizado.

Para reduzir a probabilidade de cair num e-mail de phishing, pensa com mais cuidado no que publicas online, tira partido das opções de privacidade melhoradas, restringe o acesso a quem não conheces e cria palavras-passe fortes para todas as tuas contas de redes sociais.

Lê o nosso guia para te protegeres dos hackers

4. Verifica a segurança de um sítio

Antes de introduzires qualquer informação num sítio Web, deves sempre verificar se o sítio é seguro e protegido. A melhor maneira de o fazer é ver o URL de um sítio Web. Se começar com “https” em vez de “http”, significa que o sítio foi protegido com um certificado SSL (S significa seguro). Os certificados SSL garantem que todos os teus dados estão seguros quando passam do teu browser para o servidor do sítio Web. Também deve haver um pequeno ícone de cadeado junto à barra de endereço, o que também indica que o sítio é seguro.

5. Instala o software antivírus

O software antivírus é a primeira linha de defesa na deteção de ameaças no teu computador e no bloqueio do acesso de utilizadores não autorizados. É também vital assegurar que o teu software é atualizado regularmente para garantir que os hackers não conseguem aceder ao teu computador através de vulnerabilidades em programas mais antigos e desactualizados.

Proteger-te de ataques de phishing