Phishing é um tipo ação cibernética fraudulenta em que criminosos planejam armadilhas para roubar dados confidenciais de pessoas ou empresas. Por estar totalmente atrelado à reação do usuário, que pode ou não “cair” na emboscada, é essencial que as pessoas tomem conhecimento dos riscos existentes no ambiente digital e saibam como se comportar e o que não fazer.

 

O que é o phishing?

O próprio nome já dá sinais de que uma isca é lançada para tentar fisgar alguém até uma armadilha cibernética. Phishing é uma palavra formada pela união dos termos phreaking, criado em meados de 1900 para categorizar a ação de fazer experimentos com redes de telecomunicações, e fishing, que significa pescar.

Essas ciladas podem ser disseminadas em diferentes ambientes digitais, como e-mail, redes sociais, SMS, WhatsApp e outras plataformas. O criminoso cria um contexto convincente para induzir o usuário a clicar em um link malicioso, fazer download de um arquivo, repassar informações confidenciais ou até fazer um pagamento falso.

Falando assim, pode parecer que apenas pessoas um pouco mais inexperientes nos ambientes digitais correm o risco de cair no golpe. Mas não é verdade. Cada vez mais, os criminosos aprimoram suas estratégias com alto nível de requinte para enganar as pessoas. Em muitas ocasiões, usam informações reais relacionadas a vida das vítimas, na tentativa de conferir mais veracidade ao golpe. Veja alguns exemplos:

 

  • Um profissional está trabalhando e recebe um e-mail com informações muito alinhadas às que ele costuma lidar em suas demandas rotineiras. A conexão com sua prática diária e o remetente aparentemente confiável, com aspecto oficial, pode não ativar seu estado de alerta. Nessa situação, ele pode clicar em um link malicioso, acessar uma página falsificada e digitar dados pessoais ou empresariais de login, possibilitando o vazamento de dados.

 

  • Uma pessoa fez uma compra online em uma loja da internet, teve algum problema e divulgou isso nas suas redes. Facilmente um golpista pode se apropriar dessa história e do momento de aflição para tramar uma comunicação estruturada e maliciosa, com o discurso de que vai resolver o problema. Devido ao estado emocional vulnerável, a vítima não checa pontos importantes para conferir a veracidade do contato e fornece os dados que os criminosos querem roubar.

 

O que pode acontecer se um golpe phishing é concretizado?

As possibilidades de emboscada e seus efeitos são variados. Confira alguns:

Whaling + Fraude CEO

O whaling mira nos alto-executivos de empresas, usando como comunicados mais elaborados ou ou mesmo informativos que se assemelham às comunicações oficiais da empresa. Assim que eles caem no golpe e fornecem seus dados, podem se tornar propagadores da falcatrua. Isso porque seu e-mail pode ser clonado, por exemplo, permitindo que os golpistas o usem para disparar novas iscas para a equipe.

Pharming 

Ataca o DNS das empresas, produzindo uma página falsa que é estruturada de forma semelhante a real, induzindo os profissionais a fornecerem dados pessoais. Como o ambiente digital é “familiar”, fica fácil digitar informações sem perceber o risco existente.

Spear

São ataques personalizados, que estudam criteriosamente a vítima antes de partir para o golpe. Por exemplo: o criminoso consegue descobrir muitos detalhes profissionais pelo LinkedIn e pode usá-los para elaborar uma situação complexa e crível, facilitando a manipulação da vítima.

Scam

Tem foco em dados pessoais, como logins e senhas de banco. Uma vez fornecidos, os criminosos agem rapidamente para realizações transações financeiras. Para não deixar rastro, essas operações viram outras, até que não seja mais possível recuperar a situação.

 

Recursos técnicos para controle são suficientes?

As medidas técnicas são potencialmente eficazes e podem agir para que um ataque phishing não chegue livremente até uma pessoa. Podemos destacar algumas:

  • Antivírus atualizados
  • Firewall para controlar o tráfego de informações e barrar ações suspeitas
  • Plugins anti-phishing para verificar endereços em listas duvidosas
  • Dupla verificação para aumentar os obstáculos e conferir se é realmente o usuário que está tentando o acesso

 

Entretanto, como ressaltamos no decorrer do conteúdo, os ataques phishings focam a manipulação das vítimas. Ou seja, ainda que todas as barreiras técnicas sejam devidamente implantadas e funcionem corretamente, é essencial que as pessoas tenham um comportamento cuidadoso e atento no dia a dia.

 

Como treinar a equipe de forma eficaz?

A melhor forma de impedir o phishing é agindo preventivamente, treinando as pessoas para que elas não “mordam a isca”.

Para isso, as empresas devem fazer campanhas educativas que abordem com clareza as possibilidades de golpe. É a partir da consciência do que existe de fraude que as pessoas começam a assimilar a diferença entre práticas seguras e criminosas.

Softwares de treinamento, como o da Sophos, focam exatamente nessa conscientização. Por meio deles, é possível criar campanhas educativas que simulam ataques phishing dentro do ambiente corporativo. Dessa forma, a equipe de TI consegue checar quantas e quais pessoas foram atingidas pelo golpe teste e conhecer melhor as vulnerabilidades da equipe, podendo tratá-las com uma ação mais precisa de conscientização.

A ação tomada pode variar. Por exemplo: se uma pessoa clicou em um link indevido nessa ação teste, ela recebe um e-mail explicando que se tratava de uma ação educativa e é direcionada para um treinamento online que esclarece sobre ataques phishing e como agir com segurança para evitá-los.

Se a pessoa não fizer o teste ou mesmo se a empresa preferir uma abordagem mais próxima, ela pode monitorar os indicadores do phishing teste e planejar uma intervenção mais humanizada, que esclareça a importância dessa capacitação online.

Agora que já pontuamos aspectos importantes sobre o phishing, não perca tempo: entre em contato com nossos especialistas e agende uma reunião para avaliar medidas de combate a riscos técnicos e humanos. Segurança da informação é cada dia mais crítico para os negócios e gera prejuízos financeiros e de imagem.

Autor

Saulo Costa
Saulo Costa
Possui 9 anos de experiência em telecomunicações e infraestrutura de TI. Atua na elaboração de projetos para organizações governamentais e privadas. Possui as certificações profissionais CCNA R&S + Avaya ACSS + MCP + ITIL.