13 de FEVEREIRO
No mundo corporativo são trocados muitos e-mails todos os dias e, com certeza, em algum momento, você já recebeu um e-mail com um tom de urgência de algum banco ou uma mensagem SMS pedindo para recadastrar uma senha. Nesse caso você e sua empresa podem estar na mira de um dos ataques mais comuns: o Phishing.
O que é o phishing?
O phishing é uma forma de engenharia social onde o criminoso se passa por uma entidade confiável para pescar seus dados de acesso e até mesmo os dados da empresa (logins, senhas e números de cartão).
Neste artigo, vamos abordar como o phishing funciona, quais os tipos mais perigosos para empresas e, o mais importante, como identificar um golpe antes de clicar.
Como funciona um ataque de phishing?
O phishing não é um erro técnico, mas um erro de percepção humana em um cenário montado pelos seguintes elementos:
Contato: é realizado o envio de um e-mail que parece vir de uma instituição oficial, por exemplo, um banco, a Receita Federal ou um grande fornecedor.
Gatilho: as mensagens enviadas costumam usar um tom de urgência para fazer com que a vítima tome uma atitude de forma impulsiva ("Sua conta será bloqueada" ou "Detectamos um acesso suspeito").
Isca: existe sempre uma instrução, geralmente ligada a clicar em um link para resolver o problema.
Captura: o link costuma levar os usuários a uma página idêntica à original da marca utilizada. Ao inserir seu usuário e senha ou fornecer outros dados, estes são entregues diretamente ao golpista.
Grande parte dos golpes possuem motivação financeira e obtenção de dados dos clientes para venda, principalmente no ambiente empresarial.
Quais são os principais tipos de phishing?
Os ataques evoluíram e estão se tornando cada dia mais sofisticados. Conheça os modelos mais comuns:
Spear phishing: diferente do phishing comum (disparado para milhares), este foca em um indivíduo específico. O hacker pesquisa seu nome e cargo para criar uma mensagem personalizada e convincente.
Whaling (caça à baleia): ataque direcionado aos profissionais do topo da cadeia, como CEOs e diretores, visando obter acesso a informações estratégicas de alto nível.
Business Email Compromise (BEC): o golpista se passa por um executivo sênior ou fornecedor para enganar funcionários e solicitar transferências bancárias ou pagamentos de faturas falsas.
Clone phishing: o criminoso cria uma cópia quase perfeita de um e-mail legítimo que você já recebeu, apenas trocando o link original por um malicioso.
Vishing (phishing de voz): o golpe ocorre por telefone. O invasor usa engenharia social e tons de autoridade para exigir pagamentos ou dados pessoais.
Snowshoeing: disparo de mensagens em volume baixo através de vários domínios e IPs para passar com mais facilidade pelos filtros de spam tradicionais.
7 dicas para identificar um e-mail suspeito
1. Treinar a sua equipe também faz parte do projeto de defesa: antes de clicar em links de mensagens suspeitas, é preciso verificar e orientar os colaboradores a refletirem sobre alguns pontos:
2. Desconfie da urgência: se o e-mail pede uma ação imediata sob ameaça de punição, reflita e busque mais informações antes de clicar.
3. Verifique o remetente: o nome pode ser de uma instituição conhecida, mas o endereço de e-mail por trás dele é algo como contato@seguranca-bancaria-xyz.com? Se o domínio for estranho, desconfie do golpe.
4. Passe o mouse sobre o link: antes de clicar, coloque o cursor sobre o link (sem clicar). O endereço que aparece no canto da tela é o site oficial da empresa? Se for uma URL longa e muito diferente, não clique.
5. Gramática e ortografia: grandes empresas possuem revisores. Erros grosseiros, falta de concordância ou saudações genéricas (como Prezado Cliente) são sinais de alerta.
6. Cuidado com anexos: PDFs ou arquivos .zip inesperados podem conter malwares que infectam os computadores instantaneamente.
7. Saiba o que a empresa pede: bancos e serviços oficiais nunca pedem senhas ou códigos de token por e-mail.
Dica extra - adote o Zero Trust: na dúvida, não clique. Entre em contato com a empresa por um canal oficial que você já conhece ou com o setor de cibersegurança da empresa.
Como proteger sua empresa de forma definitiva?
Funcionários treinados fazem parte de um nível de defesa muito importante, mas a tecnologia deve estar alinhada e organizada como ferramenta de proteção:
Implemente MFA (Autenticação Multifator): mesmo que o hacker roube a senha, ele não conseguirá acessar a conta sem o segundo fator de autenticação.
Filtros de Spam e Web: utilize ferramentas avançadas que bloqueiam domínios maliciosos conhecidos.
Backups regulares: mantenha os dados criptografados e com cópias de segurança fora da rede principal.
Programas de conscientização: realize simulações periódicas de phishing para manter a equipe alerta.
O Phishing continua sendo um grande vetor de ataques porque explora a curiosidade e o senso de dever dos usuários. Manter-se informado é o primeiro passo para garantir que a sua empresa não seja a próxima vítima.
Quer saber como está a exposição da sua empresa às táticas mais recentes de ataques virtuais?
Entre em contato com a gente para realizar o Diagnóstico de Maturidade de Segurança da Informação e implementar as ações de Conscientização de Usuários.
