De forma simplificada, o termo phishing está relacionado com uma outra palavra da língua inglesa, o “fishing”. Com isso, podemos entender mais claramente no que consiste essa prática: através do Phishing, os cibercriminosos conseguem “pescar” dados e informações sigilosas de usuários e empresas através de armadilhas e informações falsas.
Utilizando informações falsas e atrativas, os praticantes lançam armadilhas aos usuários para obter dados necessários para aplicação de golpes diversos. Ele pode buscar diversos tipos de dados, como informações bancárias, dados pessoais, informações sigilosas sobre a empresa, entre outras. Esse crime virtual pode atingir todos os tipos de pessoas e empresas, dependendo apenas do objetivo do criminoso.
Quando uma pessoa acaba caindo nesse tipo de golpe, ela pode fornecer dados importantes, como informações de cartão de crédito, senhas, números de documentos e outras informações confidenciais. Esse ataque pode comprometer seriamente a segurança de uma empresa, deixando informações sigilosas em mãos erradas.
Entenda como funciona o Phishing
Diferente de outros tipos de ataques cibernéticos, os ataques de phishing não utilizam pontos de vulnerabilidade em sistemas ou máquinas. Na verdade, a principal arma desse tipo de golpe é a vulnerabilidade das pessoas.
Isso quer dizer que o hacker não precisa de recursos tecnológicos para isso, ele apenas planta armadilhas esperando que a vítima acredite na fraude e acabe fornecendo informações. Uma das formas mais comuns desse tipo de ataque é o por phishing por e-mail. Nesse caso, as vítimas recebem um e-mail falso com uma solicitação de caráter urgente, que geralmente contém links e anexos maliciosos. Para entender melhor como essa armadilha é preparada, confira esse vídeo:
Para que seja realista, é comum que os golpes de phishing por e-mail contenham como remetentes empresas utilizadas pelo usuário ou pessoas que sejam do relacionamento da vítima. Por exemplo: muitos e-mails de phishing são “oriundos” de gerentes de banco, diretores de empresas, a Microsoft, Netflix ou o Google.
Se prestarmos atenção, pelo menos uma vez na vida, recebemos um e-mail tido como suspeito, que de alguma forma tentou fazer com que abríssemos um link ou um anexo. Por esse motivo, quanto mais realista for esse e-mail, maiores as chances da vítima ser convencida.
Essas armadilhas em forma de link ou anexo podem fazer com que o usuário insira informações confidenciais ou instalem softwares maliciosos, como vírus, spywares e ransomwares. Esses arquivos maliciosos podem comprometer os dados sigilosos e importantes e, em alguns casos, causar prejuízos irreparáveis para a empresa.
Qual é o papel da engenharia social?
Como dissemos anteriormente, o fator humano é essencial para garantir o sucesso do golpe realizado. Nesse sentido, a engenharia social é um recurso fundamental para esse processo. Com a ajuda dessa ferramenta, os criminosos podem induzir os usuários, coletando dados confidenciais e contaminar os computadores, redes e dispositivos da vítima do ataque.
Podemos entender a engenharia social como uma técnica utilizada pelos cibercriminosos para, através de armadilhas e informações falsas, enganar os usuários leigos e desavisados. Explorando a falta de experiência e desatenção das vítimas, esses criminosos conseguem coletar dados confidenciais e infectar os dispositivos, favorecendo a invasão e roubo de dados sigilosos.
Quais os principais tipos de phishing?
Baseados em técnicas de engenharia social, os ataques podem ter como alvo qualquer tipo de usuário ou empresa, a depender do objetivo do criminoso. Os principais tipos de ataque phishing realizados na atualidade são:
Spear Phishing
Esse tipo de ataque tem como alvo um grupo determinado de vítimas com o mesmo perfil, como gestores de TI ou de um mesmo setor. Nesse caso, o e-mail entrega informações específicas sobre o tipo de trabalho que a vítima realiza, com um link de download para que os cibercriminosos acessem as redes, coletem informações ou implantem softwares maliciosos.
Whaling
Esse ataque phishing procura as grandes “baleias”, ou seja: ele é direcionado a pessoas com cargos superiores, como diretores, SEOs, ou grandes representantes de empresas e organizações.
É comum constar nesse tipo de e-mail um alerta de segurança ou problema jurídico que possa estar afetando o negócio, entregando um link malicioso para que a vítima obtenha mais informações. Nesse caso, o e-mail pode fazer com que a pessoa seja encaminhada a uma página falsa, que solicita dados referentes ao trabalho ou dados de conta bancária.
Smishing
Utilizando o serviço de mensagens de texto (SMS), esse ataque é muito comum e pode afetar qualquer tipo de usuário. Enviando mensagens de texto curtas, os cibercriminosos tentam fazer com que a vítima abra um link ou clique em um número de telefone para contato.
Um tipo comum desse tipo de ataque são os SMS enviados por instituições bancárias falsas, informando que houve um problema com a conta e ela foi comprometida. A intenção é fazer com que a vítima insira informações sigilosas que, posteriormente, podem ser utilizadas em golpes financeiros.
Vishing
Com o mesmo objetivo que os outros tipos de ataque, esse tipo de phishing busca coletar informações pessoais ou informações corporativas sigilosas. A diferença nesse caso, é que o ataque é realizado através de uma chamada de voz. O cibercriminoso pode informar que ele é um representante de uma marca, como o Google ou a Microsoft, e informa que um vírus foi encontrado na rede ou nos equipamentos da vítima. Com isso, ele solicita que a vítima informe seus dados bancários e atualize o software antivírus.
Junto com a coleta de informações sigilosas, o hacker também consegue instalar o software malicioso, que pode corromper os dados, roubar informações, ou transformar os computadores conectados à rede da empresa em bots (computadores “zumbis” que são utilizados em ataques do tipo DDoS).
Ataque Phishing por e-mail
Esse é o tipo de ataque phishing mais comum utilizado na atualidade. Com a ajuda de e-mails falsos, os criminosos tentam convencer a vítima a inserir seus dados pessoais, informações bancárias ou instalar softwares maliciosos. Esses e-mails utilizam a engenharia social para criar uma armadilha perfeita, que convença os usuários e os induza a erro.
Phishing em mecanismos de pesquisas
Esse tipo de armadilha é extremamente perigosa para empresas que não controlam o acesso à internet dentro da organização. De forma extremamente elaborada, os cibercriminosos conseguem colocar suas páginas falsas em destaque dentro dos mecanismos de pesquisa, fazendo com que os usuários cliquem por engano.
Com isso, eles conseguem obter informações bancárias, senhas de e-mails e redes sociais, e muitos outros dados. Eles podem criar páginas idênticas às redes sociais, sites de entretenimento e páginas de e-commerce.
Você sabe identificar esse tipo de ataque?
Um ataque phishing pode causar muitos prejuízos para a vítima ou empresa que tenha sido o alvo da estratégia. Desde as fraudes financeiras, até a instalação de softwares maliciosos, os problemas causados pelo phishing podem causar um grande impacto.
Muitas vezes, os perigos causados por esse tipo de ataque são subestimados, de forma que os usuários não tomem os devidos cuidados para evitar clicar em links suspeitos ou baixar arquivos sem uma prévia verificação. É muito importante que, diante desse tipo de situação, o usuário saiba avaliar os riscos e determinar a melhor abordagem.
É comum que, usuários mais inexperientes não consigam dimensionar o grande impacto que o roubo de informações pode causar para uma pessoa ou uma empresa. Por conta dessa vulnerabilidade, é essencial que as empresas implementem uma política de uso consciente da internet e implementem uma campanha de conscientização como forma de evitar esse tipo de problema.
Aliado a isso, a empresa deve contar com ferramentas eficientes a fim de tornar o uso da internet dentro da empresa mais seguro, como um software de bloqueio de internet. Esse recurso permite que a empresa gerencie os acessos com mais eficiência e mantenha os usuários longe das principais armadilhas presentes no ambiente virtual.