Como evitar ataques de phishing?

Atualizado em por Dionisie Gitlan

Fraudar as pessoas não é novidade. Impostores como Victor Lustig e Frank Abagnale há muito tempo exploram a confiança e fazem jogos mentais com suas vítimas. Desde vender a Torre Eiffel duas vezes até se passar por um piloto, seus golpes eram lendários. Na era digital de hoje, os golpistas encontram terreno fértil na Internet.

Um exemplo notável é Evaldas Rimasauskas, um lituano que enganou o Google e o Facebook para que lhe enviassem mais de US$ 100 milhões. Fazendo-se passar pela Quanta Computer, uma fabricante taiwanesa de produtos eletrônicos, Rimasauskas comprometeu a segurança desses gigantes da tecnologia, revelando a perigosa ameaça do phishing.

O phishing é um dos truques mais antigos dos golpistas on-line. Por que gastar incontáveis horas quebrando sistemas altamente seguros quando um e-mail bem elaborado pode persuadir o alvo a lidar voluntariamente com tudo o que você solicita? Este artigo aborda o phishing em detalhes e fornece dicas sobre como evitar um ataque de phishing.

Índice

  1. O que é phishing?
  2. Como funciona o phishing?
  3. Que tipos de golpes de phishing existem?
  4. Como reconhecer um ataque de phishing?
  5. Como impedir e-mails de phishing?
  6. O que fazer se você forneceu suas informações ou dinheiro a um golpista de phishing?
  7. Por que é importante evitar e-mails de phishing?

O que é phishing?

Phishing é um ataque cibernético em que os golpistas tentam enganar as pessoas para que forneçam informações confidenciais, como senhas, números de cartão de crédito ou números de previdência social, disfarçando-se de entidades confiáveis. O objetivo final é obter acesso não autorizado a dados pessoais ou financeiros e usá-los para fins maliciosos, como roubo de identidade ou fraude financeira.

O termo “phishing” é derivado da palavra “fishing” (pesca). Ele foi criado como um jogo de palavras porque os ataques de phishing compartilham semelhanças com o ato de pescar. Assim como a pesca tradicional usa iscas para fisgar os peixes, os ataques de phishing empregam comunicações fraudulentas para atrair indivíduos desavisados a revelar suas informações confidenciais.

O termo foi usado pela primeira vez em meados dos anos 90 por hackers e pesquisadores nas primeiras plataformas on-line, como a AOL. No entanto, ganhou maior reconhecimento e uso no início dos anos 90, quando os ataques de phishing se tornaram mais predominantes e uma séria ameaça à segurança cibernética.

Como funciona o phishing?

O phishing funciona usando várias táticas para parecer confiável e legítimo. Os golpistas geralmente enviam e-mails e mensagens de texto fraudulentos ou até mesmo fazem ligações telefônicas fingindo ser outra pessoa, como um representante de banco, uma plataforma de mídia social ou um varejista on-line. Eles usam técnicas inteligentes para manipular as pessoas para que realizem ações, como clicar em um link malicioso ou fazer download de anexos infectados.

Exemplo de tentativa de phishing

Vamos dar uma olhada mais de perto em como o phishing funciona com um exemplo concreto:

Imagine que você recebe um e-mail que parece ser do seu banco. O e-mail pode usar o logotipo e as cores oficiais do banco e até mesmo imitar o formato. A linha de assunto pode ser urgente, sugerindo um problema com sua conta ou a detecção de uma transação suspeita.

No e-mail, geralmente há uma chamada para ação que o incentiva a resolver o problema. Por exemplo, ele pode solicitar que você clique em um link para verificar os detalhes de sua conta ou sua identidade. No entanto, o link fornecido não o levará à página real do banco, mas a um site malicioso habilmente projetado que se parece muito com o site legítimo do banco.

Depois de clicar no link e chegar ao site falso, você verá uma página de login que parece idêntica à página de login genuína do banco. Se você digitar seu nome de usuário e senha nessa página, os golpistas capturarão essas informações.

Em alguns casos, após inserir suas credenciais, você pode ser redirecionado para o site do banco para criar a ilusão de que nada suspeito ocorreu. Ao fazer isso, os golpistas tentam evitar levantar qualquer sinal de alerta imediato.

Com as informações de login obtidas, os invasores podem acessar sua conta bancária, fazer transações não autorizadas ou até mesmo vender suas credenciais na dark web para outros criminosos.

Que tipos de golpes de phishing existem?

Os golpes de phishing são diversos e estão em constante evolução. Os atacantes buscam novas maneiras de executar seus esquemas maliciosos, mas a estratégia subjacente é constante. Aqui estão alguns golpes de phishing comuns que você deve conhecer:

1. Phishing de e-mail

O e-mail é a forma clássica de phishing. Os golpistas enviam e-mails que parecem vir de uma fonte legítima, como um banco ou um provedor de serviços on-line. Os e-mails geralmente contêm um senso de urgência, solicitando que os destinatários atualizem as informações de suas contas ou verifiquem suas credenciais clicando em um link que leva a um site falso. Por exemplo, você pode receber um e-mail que alega ser de um provedor de serviços, solicitando que você clique em um link e insira suas credenciais de login para resolver um problema com sua conta.

2. Comprometimento de e-mail comercial (BEC)

Os ataques de BEC têm como alvo as empresas e envolvem a representação de executivos de alto escalão ou fornecedores confiáveis para enganar os funcionários e levá-los a realizar ações não autorizadas. Os golpistas geralmente enviam e-mails que parecem vir de um CEO, CFO ou de um fornecedor conhecido, instruindo os funcionários a iniciar transferências eletrônicas, divulgar dados confidenciais ou fazer alterações nos detalhes de pagamento. Esses ataques exploram a confiança e a autoridade associadas a executivos ou fornecedores, aumentando a probabilidade de os funcionários atenderem a solicitações fraudulentas.

3. Spear Phishing

O spear phishing tem como alvo indivíduos ou organizações específicas, adaptando o ataque a seus interesses pessoais ou profissionais. Os fraudadores coletam informações sobre seus alvos por meio da mídia social ou de outras fontes para criar mensagens personalizadas e convincentes. Por exemplo, um golpista pode enviar um e-mail a um funcionário de uma empresa, fazendo-se passar por um executivo sênior e solicitando informações confidenciais da empresa.

4. Smishing e Vishing

Smishing refere-se a ataques de phishing realizados por meio de mensagens de texto, enquanto vishing refere-se a phishing de voz por meio de chamadas telefônicas. Os golpistas enviam mensagens de texto ou fazem ligações telefônicas fazendo-se passar por entidades confiáveis, como bancos, suporte técnico ou órgãos governamentais, e tentam enganar as pessoas para que compartilhem suas informações pessoais ou façam transações financeiras por telefone.

5. Pharming

Nos ataques de pharming, os invasores manipulam o sistema de nomes de domínio (DNS) para redirecionar os usuários a sites de phishing fraudulentos sem o conhecimento deles. Diferentemente dos ataques tradicionais de phishing, que dependem de enganar as pessoas por meio de e-mails ou links enganosos, os ataques de pharming adulteram a infraestrutura fundamental da Internet.

Os golpistas comprometem as configurações de DNS explorando vulnerabilidades nos servidores de DNS ou infectando os computadores dos usuários com malware. Dessa forma, eles redirecionam o tráfego destinado a sites legítimos para sites falsos que se parecem muito com os legítimos. Quando os usuários digitam o endereço correto do site ou clicam em um link marcado, o ataque de pharming os direciona para o site mal-intencionado.

Como reconhecer um ataque de phishing?

Aqui estão algumas maneiras comprovadas de reconhecer ataques de phishing, juntamente com melhorias nos pontos existentes:

  • Táticas de urgência e medo: Os e-mails de phishing geralmente criam um senso de urgência ou usam táticas de medo para pressioná-lo a tomar medidas imediatas. Eles podem alegar que sua conta será encerrada ou que você sofrerá consequências se não responder rapidamente. Seja cauteloso com essas táticas e avalie cuidadosamente a situação antes de fornecer qualquer informação confidencial.
  • Anexos inesperados: Os e-mails de phishing às vezes contêm anexos inesperados, como faturas, detalhes de remessa ou documentos legais. Esses anexos podem conter malware ou vírus que podem comprometer seu computador ou roubar seus dados. Evite abrir anexos de fontes suspeitas ou desconhecidas.
  • Solicitações incomuns de informações: Desconfie de e-mails que solicitem informações pessoais ou financeiras desnecessárias. Normalmente, as organizações legítimas não solicitam informações confidenciais por e-mail, especialmente credenciais de login, números de previdência social ou detalhes de cartão de crédito. Entre em contato com a organização diretamente pelo site oficial ou pelos canais de suporte ao cliente para verificar a solicitação.
  • Saudações genéricas ou falta de personalização: Os e-mails de phishing geralmente usam saudações genéricas como “Prezado cliente” em vez de se dirigirem a você pelo seu nome. As empresas genuínas geralmente personalizam seus e-mails e usam seu nome ou nome de usuário para estabelecer a autenticidade. Desconfie de e-mails que não se dirigem a você pessoalmente.
  • Endereços de e-mail falsificados: Preste atenção ao endereço de e-mail de onde a mensagem vem. Os golpistas de phishing podem falsificar endereços de e-mail para fazer parecer que o e-mail vem de uma fonte legítima. Verifique cuidadosamente o endereço de e-mail quanto a pequenas variações ou erros de ortografia que possam indicar um remetente fraudulento.
  • Remetentes inesperados ou desconhecidos: Tenha cuidado se você receber um e-mail de alguém que não reconhece ou com quem não se comunicou anteriormente. Seja especialmente cauteloso se o e-mail alegar ser de uma organização ou indivíduo conhecido, mas não estiver alinhado com suas interações ou expectativas existentes.
  • Sem assinatura digital: Uma assinatura digital verifica a identidade do remetente. Atuando de forma semelhante aos certificados SSL, os certificados digitais de e-mail permitem a criptografia de ponta a ponta de suas comunicações. Você pode verificar o status de um e-mail recebido de seu cliente. A marca de seleção verde e o endereço de e-mail verificado indicam que a mensagem foi assinada digitalmente por uma autoridade de certificação confiável.

Como evitar um ataque de phishing?

A prevenção de e-mails de phishing, seja você um cliente ou uma empresa personificada, tem tudo a ver com ser proativo. Abaixo estão listadas dez maneiras eficientes de evitar o phishing:

  • Ative a autenticação de dois fatores (2FA): Adicione uma camada extra de segurança às suas credenciais e senhas ativando a 2FA. Exige uma etapa adicional, como a inserção de um código enviado ao seu dispositivo móvel ou o uso de autenticação biométrica, como impressões digitais.
  • Use certificados de e-mail: Proteja sua identidade pessoal ou comercial assinando digitalmente suas trocas de e-mail com certificados de e-mail. Esses certificados, fornecidos por autoridades de certificação confiáveis, como Sectigo e Digicert, criptografam seus e-mails e documentos enviados, garantindo a legitimidade do remetente.
  • Implemente protocolos de autenticação de e-mail: Utilize protocolos de autenticação de e-mail como SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting, and Conformance) para ajudar a evitar falsificação de e-mail e garantir que os e-mails recebidos sejam de fontes legítimas.
  • Seja cauteloso com comunicações não solicitadas: Desconfie de e-mails não solicitados, especialmente os que solicitam informações confidenciais ou pedem ações imediatas. Entre em contato com o remetente por meio do site oficial ou dos canais de suporte ao cliente para confirmar a autenticidade do e-mail.
  • Atualize e proteja regularmente os dispositivos: Instale os patches de segurança e o software antivírus mais recentes. A aplicação regular de atualizações ajuda a proteger contra vulnerabilidades conhecidas que podem ser exploradas por phishers.
  • Eduque-se e mantenha-se informado: Conheça as técnicas de phishing e as ameaças em evolução, incluindo tendências, táticas e sinais de alerta de phishing. Mantenha-se informado por meio de fontes confiáveis, como blogs de segurança e agências de notícias.
  • Conexões de rede seguras: Use uma conexão de rede segura ao acessar informações confidenciais ou fazer transações on-line. Evite usar redes Wi-Fi públicas para essas atividades, pois elas podem não ter a criptografia adequada e podem ser vulneráveis a espionagem.
  • Desconfie de links e anexos suspeitos: Evite clicar em links suspeitos ou fazer download de anexos de fontes desconhecidas ou não confiáveis. Passe o mouse sobre os links para inspecionar o URL antes de clicar.
  • Monitore regularmente as contas financeiras e on-line: Fique de olho em suas contas financeiras e on-line para detectar qualquer atividade não autorizada. Analise regularmente os extratos bancários, as transações com cartão de crédito e as atividades da conta on-line para detectar e relatar transações suspeitas ou fraudulentas.
  • Denuncie tentativas de phishing: Torne a Web mais segura denunciando e-mails de phishing às autoridades competentes, como [email protected] e [email protected]. Revelar essas tentativas os ajuda a tomar medidas contra campanhas de phishing e protege outras pessoas de serem vítimas delas.

Como impedir e-mails de phishing?

A melhor maneira de evitar golpes de phishing é estar ciente da segurança cibernética. Utilize software ou serviços robustos de filtragem de e-mail e detecção de spam para detectar e bloquear e-mails de phishing. Esses sistemas usam algoritmos avançados e bancos de dados de indicadores de phishing conhecidos para identificar e filtrar e-mails suspeitos antes que eles cheguem à sua caixa de entrada.

Mas até mesmo os melhores filtros de spam podem, às vezes, deixar passar mensagens de phishing. Por isso, é essencial promover uma cultura de vigilância entre funcionários e usuários, incentivando-os a examinar os e-mails em busca de sinais de phishing. Comunique prontamente as suspeitas de e-mails de phishing às equipes de TI ou de segurança, permitindo que elas bloqueiem remetentes ou domínios mal-intencionados.

O que fazer se você forneceu suas informações ou dinheiro a um golpista de phishing?

Se você perceber que forneceu suas informações ou dinheiro a um phisher, tome medidas imediatas para reduzir os possíveis danos. O tempo é essencial, portanto, quanto mais rápido você responder, mais chances terá de minimizar o impacto.

Altere imediatamente as senhas de todas as contas que você acredita que possam ter sido comprometidas. Comece com seu e-mail, banco on-line, mídia social e outras plataformas essenciais. Crie senhas fortes e exclusivas para cada conta para aumentar a segurança.

Em seguida, entre em contato e informe as organizações ou instituições financeiras afetadas pelo golpe sobre a atividade fraudulenta e forneça todos os detalhes relevantes. Eles podem orientá-lo sobre as etapas necessárias para proteger suas contas e evitar mais acessos não autorizados.

Monitore seus extratos bancários, transações com cartão de crédito e outras contas em busca de atividades suspeitas. Informe imediatamente qualquer transação não autorizada ao seu banco ou à empresa de cartão de crédito.
E informe a sua agência local de fiscalização ou a divisão de crimes cibernéticos sobre a fraude.

Após um incidente de phishing, os golpistas podem tentar atingir você novamente, fazendo-se passar por representantes da organização pela qual você foi enganado. Fique atento e desconfie de qualquer comunicação duvidosa, especialmente as que solicitam mais informações pessoais.

Por fim, certifique-se de que seu computador e seus dispositivos tenham instalado softwares antivírus e antimalware atualizados. Execute uma varredura completa para detectar e remover qualquer malware em potencial que tenha entrado em seus sistemas durante o ataque de phishing.

Por que é importante evitar e-mails de phishing?

Atualmente, o phishing é onipresente e qualquer pessoa pode ser vítima dele. Do setor de saúde a indivíduos, ninguém está imune a golpes on-line. Um novo site de phishing é lançado a cada 20 segundos, enquanto 86% dos ataques de e-mail não contêm malware. As empresas e organizações dependem da confiança e da confidencialidade de seus clientes. Ser vítima de um ataque de phishing pode comprometer os dados do cliente, corroer a confiança e prejudicar a reputação de forma irreparável.

Abaixo, listamos algumas estatísticas reveladoras que você provavelmente não conhecia sobre phishing:

  • O phishing é responsável por 90% das violações de dados e é a forma mais comum de crime cibernético, com uma estimativa de 3,4 bilhões de e-mails de spam enviados todos os dias.
  • De acordo com o FBI, as perdas resultantes do comprometimento de e-mails comerciais e de contas de e-mail ultrapassaram US$ 43 bilhões.
  • Mais de 48% dos e-mails enviados em 2022 eram spam.
  • O custo médio de uma violação de dados contra uma organização é de mais de US$ 4 milhões.
  • Em janeiro de 2017, um golpe de phishing do Gmail atingiu quase 1 bilhão de usuários em todo o mundo
  • 37,9% dos usuários não treinados falham nos testes de phishing
  • A Apple é a empresa mais imitada em golpes de phishing

Como você pode ver, o phishing por e-mail é uma ameaça séria que é impossível eliminar completamente. Enquanto a Internet existir, os phishers encontrarão maneiras inteligentes de manipular usuários e empresas. É por isso que você deve estar sempre atento e alerta ao abrir e gerenciar seus e-mails. A prevenção de phishing não é difícil. Você pode identificar e ignorar um possível golpe em pouco tempo se treinar para isso.

Conclusão

Fornecemos a você todas as ferramentas e conhecimentos sobre como evitar um ataque de phishing. Agora, cabe a você seguir as recomendações e detectar qualquer atividade mal-intencionada antes que ela se aproveite de sua falta de cuidado.

Evitar e-mails de phishing é fundamental para proteger informações pessoais, recursos financeiros, segurança digital e manter a confiança nas interações on-line. Mantendo-se alerta e empregando práticas seguras, você pode se proteger e contribuir para um ambiente digital mais seguro.

Perguntas frequentes

Por que é difícil prevenir o phishing?

É difícil evitar o phishing porque os golpistas evoluem continuamente suas técnicas, o que torna difícil para as medidas de segurança acompanhar e detectar todas as tentativas de phishing de forma eficaz.

Copiar link

Quem é o alvo do phishing?

O phishing tem como alvo indivíduos e organizações de vários setores, incluindo bancos, comércio eletrônico, saúde e governo, para obter informações confidenciais ou ganhos financeiros.

Copiar link

Por que o phishing acontece?

O phishing acontece porque é um método lucrativo e de risco relativamente baixo para que os criminosos cibernéticos explorem as vulnerabilidades humanas, contornem as medidas de segurança e enganem as pessoas para que divulguem informações confidenciais ou realizem ações prejudiciais.

Copiar link

Quanto tempo dura o phishing?

A duração de uma campanha de phishing pode variar, de algumas horas a várias semanas, dependendo dos objetivos e das táticas específicas do invasor.

Copiar link

O phishing é feito por hackers?

Sim, o phishing é normalmente realizado por hackers ou criminosos cibernéticos que usam técnicas de engenharia social, sites falsos e comunicações fraudulentas para enganar e explorar indivíduos ou organizações.

Copiar link

Abrir um e-mail pode fazer com que você seja hackeado?

Embora seja improvável que a simples abertura de um e-mail invada diretamente o seu dispositivo, os e-mails de phishing geralmente contêm links ou anexos mal-intencionados que, quando abertos, podem levar a infecções por malware ou comprometer ainda mais a sua segurança.

Copiar link

Podemos impedir o phishing?

É um desafio eliminar o phishing devido ao grande número de ataques que ocorrem diariamente. A melhor abordagem é estar atento a todas as interações on-line, seja por e-mail, mídia social ou bate-papo.

Copiar link

Economize 10% em certificados SSL ao fazer seu pedido hoje!

Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10

Economize 10% agora!
Escrito por

Redator de conteúdo experiente, especializado em certificados SSL. Transformação de tópicos complexos de segurança cibernética em conteúdo claro e envolvente. Contribua para melhorar a segurança digital por meio de narrativas impactantes.

Posts relacionados
Apple e Meta são pegos em um erro de vazamento de dados
O que é o comprometimento de e-mail comercial (BEC) e como evitá-lo?
Como enviar documentos com segurança por e-mail
O que é um certificado S/MIME e como ele funciona?
Segurança do servidor de e-mail: como proteger seus e-mails