Introducing G2.ai, the future of software buying.Try now
Categoria de Email Anti-spam

O que é Phishing? Como Reconhecer Ataques e Preveni-los

18 de Fevereiro de 2022
Mara Calvello
MC
por Mara Calvello

Neste post

Neste post

Nunca há um ponto final na batalha contra a fraude online.

Hackers maliciosos estão constantemente procurando maneiras de explorar vulnerabilidades e realizar ataques de phishing. Phishing é uma tentativa de enganar uma pessoa para que ela divulgue informações sensíveis que os atacantes usam para roubo de identidade ou algum outro tipo de fraude. Eles vêm em várias formas e podem enganá-lo com e-mails ou telefonemas falsos, tentando roubar seus dados pessoais ou financeiros.

Os cibercriminosos usam principalmente o phishing para roubar informações: dados bancários, números de cartão de crédito, logins de contas, senhas, etc. O perigo de tais informações serem exploradas é que isso pode levar ao roubo de identidade e perda financeira.

Muitas organizações usam software anti-spam de e-mail para proteger seus funcionários de serem vítimas de campanhas de phishing.

O que é phishing?

Phishing é um método de obtenção de informações de usuários por meio de comunicações fraudulentas direcionadas diretamente às pessoas. Isso geralmente é feito por meio de e-mails fraudulentos disfarçados de legítimos que enganam as pessoas para que revelem informações sensíveis.

Essencialmente, o objetivo de um cibercriminoso ao realizar um golpe de phishing é enganá-lo, geralmente usando e-mail como sua arma, para que você forneça as informações que eles desejam. Os atacantes enganam os destinatários para que abram links maliciosos, resultando em infecções por malware ou ransomware .

Os ataques de phishing podem fazer parte de uma violação de dados mais significativa, como uma ameaça persistente avançada (APT). Hackers maliciosos enganam os usuários com tentativas de phishing para acessar uma rede fechada de uma organização e informações sensíveis. As empresas devem treinar sua força de trabalho periodicamente para garantir que funcionários e contratados conheçam as técnicas modernas de phishing.

Por exemplo, um e-mail de phishing pode incentivar um destinatário a clicar em um link malicioso, abrir um anexo de imagem ou baixar um arquivo. Geralmente, tem um elemento de urgência, medo ou, às vezes, ganância. Você precisa ter cuidado com e-mails ou mensagens de phishing que chegam por meio de um serviço de mensagens curtas (SMS) que estimulam qualquer uma dessas emoções em você.

Como o phishing funciona

Normalmente, os ataques de phishing dependem de vários métodos de redes sociais aplicados a e-mails ou outros métodos de comunicação, como mensagens de texto ou plataformas de mensagens instantâneas. Os phishers também podem usar engenharia social para descobrir informações sobre a vítima, incluindo onde ela trabalha, seu cargo, hobbies, interesses, atividades, e assim por diante.

Os atacantes usam essas informações para compor uma mensagem de e-mail convincente. Esses e-mails maliciosos geralmente começam com um link ou um anexo para que o destinatário clique ou abra. Além disso, o conteúdo geralmente é mal escrito, com gramática inadequada.

Funciona assim: você recebe uma mensagem que parece ser de uma pessoa que você conhece ou de uma organização que você reconhece. Os atacantes armam essa mensagem com um anexo de arquivo malicioso ou link que contém software de phishing.

Isso o leva a instalar malware em seu dispositivo ou redirecioná-lo para um site falso que o engana para que você insira suas informações pessoais, como senhas ou informações de cartão de crédito.

Ou, você receberá um e-mail do CEO da sua empresa, com o endereço de e-mail ligeiramente incorreto. A mensagem diz: "Dê-me seu número, preciso que você complete uma tarefa para mim." Como este é o CEO da sua empresa (ou assim você pensa), você responde com seu número de telefone, apenas para receber uma mensagem de texto pedindo que você complete uma tarefa que não faz sentido, como pedir um monte de cartões-presente da Amazon. Não estou falando por experiência própria ou algo assim.

Quer aprender mais sobre Software Anti-spam de Email? Explore os produtos de Email Anti-spam.

Tipos de ataques de phishing

Assim como há muitos peixes no mar, há vários tipos de tentativas de phishing das quais você pode ser vítima.

  • Spear phishing: Spear phishing é um golpe de e-mail direcionado a um indivíduo, uma empresa ou uma organização para roubar dados pessoais, como informações financeiras ou credenciais de conta, para enganar a pessoa a acreditar que tem uma conexão real com o remetente.
  • Ataque de baleia: O whaling é semelhante ao spear phishing, exceto em uma escala muito maior. Esses e-mails geralmente têm uma linha de assunto sobre um assunto "crítico" de negócios e são enviados para alguém no topo da cadeia alimentar dentro de uma empresa ou organização específica. O objetivo dos ataques de whaling é infectar um computador com malware e obter credenciais de e-mail de negócios de executivos para realizar transferências bancárias fraudulentas.
  • Fraude do CEO: Quando um ataque de whaling é bem-sucedido, ocorre a fraude do CEO. Os atacantes conseguem se passar pelo CEO e abusar do e-mail do CEO para aprovar transferências bancárias para uma instituição financeira de sua escolha.
  • Pharming: Este método decorre de uma manipulação do cache do sistema de nomes de domínio (DNS). A internet usa servidores DNS para converter nomes de sites em endereços IP numéricos. O atacante então mira no servidor DNS e altera o endereço IP, permitindo que o atacante redirecione os usuários para um site malicioso, mesmo que eles digitem o URL correto.
  • Phishing por voz: Também conhecido como vishing, esta é uma forma de phishing por meio de mídia de comunicação por voz. Usando software de síntese de voz, um atacante deixará uma mensagem de voz notificando a vítima sobre atividade suspeita em sua conta bancária ou de crédito e instando a vítima a responder para verificar sua identidade. Isso leva ao roubo de identidade, após o qual os golpistas usam números de cartão de crédito comprometidos para seus propósitos maliciosos.

Como identificar uma tentativa de phishing

Pode ser mais difícil do que você pensa reconhecer um e-mail de phishing, já que eles são normalmente enviados de uma empresa bem conhecida ou de alguém (que você pensa) que conhece. Principalmente se incluir o logotipo correto da empresa, fazendo parecer legítimo. Os atacantes estruturam links para parecerem o mais genuínos possível, com apenas um ou dois caracteres diferentes. Estes são os sinais de alerta que você deve ficar atento para não se tornar vítima de um ataque de phishing.

  • O link inclui um subdomínio ou um URL com erro de ortografia.
  • É enviado de uma conta do Gmail em vez de uma conta de e-mail corporativa ou comercial.
  • A mensagem possui um senso de urgência ou medo.
  • A mensagem pede que você verifique informações pessoais, como uma senha.
  • Está mal escrito, com erros de ortografia e gramática.
  • A mensagem não é endereçada a você pessoalmente e, em vez disso, lê "Caro Cliente".
  • O conteúdo é bom demais para ser verdade, como dizer que você ganhou um iPhone ou um prêmio luxuoso.
  • A mensagem contém ameaças, implicando que circunstâncias terríveis surgirão se você não seguir adiante.

Além de saber quais sinais de alerta observar, você também pode ir um passo além, utilizando filtros de spam para escanear mensagens de e-mail, conteúdo e anexos em busca de ameaças potenciais.

Abaixo estão os principais softwares anti-spam de e-mail que as organizações podem usar para se proteger contra ataques de phishing por e-mail.

  1. Proofpoint Email Security and Protection

  2. Avanan Cloud Email Security

  3. SaneBox

  4. SpamTitan Email Security

  5. Everest (anteriormente 250ok e Return Path)

*Estes são cinco dos principais softwares anti-spam de e-mail do G2 Winter 2022 Grid Report.

Exemplos de ataques de phishing

Os atacantes modernos entendem como as organizações protegem seus ativos. Hackers elaboram novas maneiras de acessar sistemas enganando essas defesas, e talvez a maneira mais fácil seja enganando humanos. Humanos são o elo mais fraco na cibersegurança de qualquer organização.

Abaixo estão alguns exemplos de ataques de phishing que hackers maliciosos realizam para acessar informações sensíveis.

  • Os atacantes se passam pelo CEO de uma empresa ou pela equipe de liderança sênior exigindo atenção urgente a um relatório ou anexo. Os funcionários reagem rapidamente a e-mails suspeitos por medo ou senso de responsabilidade para com a empresa e sua liderança.
  • E-mails de redefinição de senha caem na sua caixa de entrada para lembrá-lo sobre uma senha que está expirando.
  • Hackers maliciosos se passam por seu colega e enviam e-mails sobre um documento sensível com seu nome na bandeja da impressora. Eles podem anexar uma imagem fictícia que pode implantar malware se baixada.
  • Às vezes, os atacantes podem redirecioná-lo para uma página maliciosa que parece exatamente como a genuína e forçá-lo a inserir credenciais de usuário. Por outro lado, os atacantes podem explorar vulnerabilidades e sequestrar cookies de sessão por meio de scripts maliciosos ativados, resultando em um ataque de cross-site scripting (XSS) refletido.

Embora o phishing aconteça com pessoas comuns, houve alguns ataques que causaram um grande impacto na mídia mainstream.

Por exemplo, o Federal Bureau of Investigation (FBI) emitiu um alerta em 16 de fevereiro de 2022 sobre redes de contratantes dos EUA sendo alvo para acessar dados sensíveis de defesa. A Agência de Segurança Cibernética e Infraestrutura (CISA) observou que atores de ameaça usaram spear phishing, coleta de credenciais e ataques de força bruta contra redes e contas fracas. O FBI acrescentou: "atores mal-intencionados tiram vantagem antiética de funcionários desavisados, sistemas não corrigidos e senhas simples para obter acesso inicial antes de se mover lateralmente pela rede para estabelecer persistência e exfiltrar dados."

Como prevenir ataques de phishing

Nos últimos anos, o phishing se tornou um problema significativo para as empresas. À medida que os e-mails de phishing se tornam mais difíceis de identificar, é provável que passem despercebidos quando enviados para as caixas de entrada dos funcionários.

Embora tentativas de spam e phishing possam ser difíceis de identificar, algumas diferenças-chave podem ajudá-lo a separar o real do falso. E-mails de spam podem parecer e-mails legítimos de empresas com logotipos oficiais ou linguagem que os faz parecer confiáveis, mas muitas vezes terão erros de ortografia nos cabeçalhos ou linhas de assunto. E-mails de phishing são mais formais em sua linguagem, mas incluem irregularidades que parecem suspeitas.

Por exemplo, um e-mail pedindo uma transferência bancária urgente seria bastante incomum se enviado pelo departamento financeiro de uma empresa. O endereço de e-mail usado também pode ser muito diferente.

É um equívoco que o phishing geralmente acontece com pessoas que usam muito a internet. Este não é o caso. Qualquer pessoa pode ser vítima de phishing, mesmo que você use a internet apenas em raras ocasiões. A melhor maneira de se proteger contra fraudes online é manter seu computador seguro e seguir algumas etapas básicas quando estiver online.

Esteja ciente dos links em que você clica

Certifique-se de que o link que você está prestes a clicar vai diretamente para o site que afirma ir. Tenha cuidado com links que se parecem com outros, mas têm um nome de domínio estranho no URL (nome de domínio é o endereço do site). Isso pode indicar um golpe de phishing.

Evite fornecer detalhes pessoais

Se alguém ligar ou enviar um e-mail pedindo informações pessoais, certifique-se de que eles provem sua identidade. É fácil para um impostor ou hacker fingir ser outra pessoa, então nunca confie em alguém a menos que você o conheça pessoalmente ou tenha certeza de que é legítimo.

Use sites seguros

Ao fazer compras online, certifique-se de que está usando um site com recursos de segurança, como uma barra verde na parte inferior da tela ou https:// na frente. HTTPS refere-se ao Protocolo de Transferência de Hipertexto Seguro que facilita a comunicação segura em uma rede de computadores.

Ninguém quer ser a isca

Especialmente quando se trata de um ataque de phishing, isso pode acontecer com qualquer pessoa, então certifique-se de estar extra cauteloso antes de abrir um e-mail misterioso e clicar em um link. Com a quantidade de informações pessoais que você pode acessar online, é mais importante do que nunca que você dê o passo extra para garantir que não se torne a isca de um ataque cibernético.

Saiba mais sobre os diferentes tipos de ataques cibernéticos e como proteger seu negócio contra eles.

Mara Calvello
MC

Mara Calvello

Mara Calvello is a Content and Communications Manager at G2. She received her Bachelor of Arts degree from Elmhurst College (now Elmhurst University). Mara writes content highlighting G2 newsroom events and customer marketing case studies, while also focusing on social media and communications for G2. She previously wrote content to support our G2 Tea newsletter, as well as categories on artificial intelligence, natural language understanding (NLU), AI code generation, synthetic data, and more. In her spare time, she's out exploring with her rescue dog Zeke or enjoying a good book.

Explore mais artigos da G2

Onde encontrar os melhores aplicativos de gestão de viagens para empresas
Principais ferramentas de análise para estratégia de marketing
Melhor Software de Automação de AP
Melhor CRM com recursos de capacitação de vendas