Originado do termo fishing em inglês, que significa “pescar” ou “fisgar”, o phishing é um tipo de ataque cibernético onde os dados são roubados ou as informações são desviadas através de armadilhas ou que podem ser enviadas por redes sociais, telefone ou sites falsos. O e-mail de phishing muitas vezes pode vir mascarado como uma empresa confiável, ou alguma pessoa que seja do convívio da vítima.
Embora possa ser realizado de diferentes maneiras, o e-mail de phishing é a forma mais comum para esse tipo de ataque. No ano de 2020, por conta do surgimento e ampliação do uso do aplicativo Caixa Tem (utilizado para saque de auxílio do Governo) esse tipo de ataque ficou ainda mais popular.
O lançamento do Pix como modalidade de pagamento também foi uma grande porta de entrada para uma nova onda de ataques do phishing.
Armadilhas online: como funciona o phishing?
Diferentemente do que a grande maioria das pessoas acredita, o ataque phishing não é algo totalmente aleatório, envolvendo um grande planejamento prévio. Utilizando recursos tecnológicos e uma metodologia chamada de engenharia social, o ataque de phishing utiliza a vulnerabilidade do próprio usuário para obter os dados da vítima. Para entender como a engenharia social é utilizada nesse tipo de ataque, confira esse conteúdo:
Através de mensagens elaboradas, e-mails bem construídos e sites fraudulentos, os criminosos conseguem coletar informações confidenciais sem o consentimento do usuário, que pensa estar enviando essas informações para uma empresa ou pessoa legítima.
Para que esta estratégia seja eficiente, os cibercriminosos precisam desenvolver a armadilha perfeita. Pensando na isca, eles conseguem estabelecer um artifício que possa confundir esses usuários e levá-los a fornecer dados sigilosos. Nesse caso, os cibercriminosos podem obter dados sigilosos que podem ir desde documentos pessoais, até informações fiscais sobre a empresa.
Esses dados são utilizados para acessar contas, criar identidades falsas, fraudes financeiras ou algum outro tipo de crime. Muitas vezes, os criminosos podem coletar esses dados e solicitar um pagamento para devolvê-los, uma prática chamada de ransomware.
A importância da LGPD
Quando tratamos de segurança de dados, é impossível não mencionar a Lei Geral de Proteção de Dados, que é uma lei criada para aumentar a segurança e garantir a proteção dos dados armazenados, coletados e manipulados por uma empresa. Um dos pontos mais importantes dessa legislação é a segurança dos dados. Ela estabelece as responsabilidades e obrigações da empresa quanto aos dados confidenciais.
A LGPD trouxe mais segurança para os usuários ao estabelecer as normas e protocolos eficientes para a proteção das informações sigilosas armazenadas e manipuladas pelas empresas. Embora o período de adaptação a essa nova legislação tenha sido muito desafiador para as empresas, os critérios estabelecidos na lei servem como um paradigma para um armazenamento seguro de informações.
Contudo, mesmo que essa lei tenha transformado a segurança digital no Brasil, ainda existem muitos riscos que podem prejudicar a confidencialidade das informações, como é o caso do ataque de phishing e outras modalidades.
E nesse sentido ninguém está seguro. O STJ, por exemplo, já passou por um ataque cibernético que levou os seus sistemas a ficarem disponíveis por uma semana. A JBS chegou a pagar 11 milhões de reais em um resgate diante de um ataque do tipo ransomware.
Dessa forma, podemos ver que a vulnerabilidade das empresas não se restringe ao tamanho ou ao tipo do negócio. E quando tratamos de ataques do tipo phishing, esses sinais ficam ainda mais evidentes, pois estamos diante da vulnerabilidade dos usuários e não dos sistemas da empresa.
Podemos entender, com isso, que todas as empresas de todos os segmentos, independente do tamanho, podem ser vítimas em potencial de algum tipo de ataque ou fraude.
Quem pode ser alvo de phishing?
Como citamos anteriormente, não existe um público-alvo para um ataque de phishing. Por esse motivo, é de extrema importância que a empresa invista em treinamentos para preparar os seus colaboradores de forma mais inteligente.
Veja a seguir alguns sinais de que a sua empresa pode estar diante de um e-mail de phishing:
- Embora você conheça o remetente não é alguém com quem você mantenha contato frequente. Mesmo que o remetente desta mensagem seja familiar, é importante que você suspeite se for uma pessoa com a qual você não mantém uma relação constante. Principalmente se o conteúdo do e-mail possuir um caráter muito pessoal ou estiver relacionado com informações da sua rotina sobre as quais o remetente não teria conhecimento.
- Se o conteúdo do e-mail contém uma mensagem de caráter ameaçador e assustador, é comum que os cibercriminosos utilizem um tom alarmista para fazer com que a sua vítima caia com mais facilidade no golpe. Esses e-mails de phishing costumam conter um tom imperativo que solicita que você acesse um link ou adote uma postura imediatista diante de uma situação.
- Se a mensagem contém algum anexo aparentemente inusitado ou inesperado. Se você recebeu um e-mail de uma pessoa que é sua conhecida, mas não mantém contato frequente, e está enviando fotos de uma determinada festa ou viagem, se mantenha atento. Existe uma grande possibilidade de se tratar de um e-mail de phishing.
- Cuidado com links que pareçam suspeitos ou um pouco apagados. Mesmo se o seu e-mail passar por todos os critérios citados anteriormente sem suspeitas, antes de clicar em um link enviado passe cursor para verificar qual é a URL verdadeira. Também é importante se manter atento a erros de ortografia em sites que pareçam familiares, como de lojas, bancos e empresas.
É possível se proteger?
Pudemos ver neste artigo que os ataques através de um e-mail phishing podem trazer inúmeros problemas para um negócio, causando um grande pânico entre os usuários. Por esta razão, é importante que os colaboradores das empresas passem por um treinamento que os prepare melhor para identificar essas ameaças. Além disso, para evitar um ataque, existem algumas dicas importantes que devem ser levados em consideração, como:
Invista na segurança da informação
Embora o ataque com e-mail phishing utilize a vulnerabilidade dos usuários para que consiga ter sucesso, existem algumas ferramentas que podem te ajudar a manter a segurança das informações. Além de software antivírus que conseguem identificar a presença de arquivos maliciosos em anexos, você também pode contar com um sistema de controle e bloqueio de internet.
Com a ajuda dessa ferramenta, mesmo que os cibercriminosos criem cópias de páginas muito acessadas, os seus funcionários não conseguirão acessar e nem fornecer as informações confidenciais.
Treine os seus colaboradores
A conscientização quanto a importância de uma postura segura dentro da internet da empresa é de extrema importância para ajudar a manter a segurança dos dados. O ideal é que a empresa inicie esse processo de preparação e treinamento assim que o colaborador inicia suas atividades.
Além disso, os trabalhadores precisam conhecer também os principais tipos de ataque que podem ser realizados para saber qual as melhores abordagens de acordo com a ameaça.
Fortaleça a importância da segurança da informação na cultura da sua empresa
Juntamente com o treino dos trabalhadores, é essencial que os gestores reforcem essa mensagem continuamente para que todos entendam a importância de uma postura mais segura e o valor da confidencialidade das informações. Quanto mais os seus colaboradores souberem sobre a importância da proteção dos dados, mais fácil será implementar uma política de uso seguro da internet.
A tecnologia pode ajudar
Além dos softwares de segurança que são essenciais para garantir a proteção dos dados armazenados, a empresa pode contar com ferramentas tecnológicas que ajudem a ter um controle mais assertivo sobre o tipo de acesso que é realizado na internet.
Um sistema de bloqueio da internet é muito mais do que apenas garantir uma maior produtividade dos trabalhadores: esse recurso permite que os gestores conheçam os padrões de utilização dos usuários e consigam aplicar regras de acesso mais específicas para garantir a segurança da empresa.
Diante de tantas consequências graves que podem decorrer de um e-mail de phishing, é imprescindível adotar todas as medidas disponíveis para aumentar a proteção dos dados. Você sabe como anda a segurança da sua empresa? Confira essa ferramenta exclusiva e descubra!