Em relatório produzido pela Kaspersky, em 2020, a cada cinco brasileiros, um sofreu uma tentativa de phishing. Também de acordo com um mapeamento feito pela ClearSale, em 2022, o país registrou 5,6 milhões de tentativas de fraudes, entre elas, o phishing.
Esses dados posicionam o Brasil em uma colocação nada privilegiada no ranking de países que mais sofrem ataques cibernéticos. Isso é bastante preocupante, uma vez que ataques como o phishing podem comprometer a imagem e a segurança dos dados privados das organizações.
Por isso, é essencial entender como funciona esse ataque e que práticas e tecnologias devem ser utilizadas para se proteger. Neste artigo, vamos compartilhar algumas dicas indispensáveis sobre o assunto!
O que é phishing — entenda essa ameaça perigosa
Phishing é um tipo de crime cibernético em que alguém se passa por uma instituição legítima para enganar as pessoas e obter dados sensíveis, como informações pessoais, bancárias, de cartão de crédito e senhas. Esses dados são usados para acessar contas importantes e podem resultar em roubo de identidade e perda financeira.
Phishing é uma prática bastante eficiente na mão de cibercriminosos porque explora a vulnerabilidade humana e a confiança nas marcas e organizações.
Nesses casos, os criminosos usam técnicas de engenharia social, como ofertas tentadoras, mensagens urgentes, links falsos, anexos maliciosos e remetentes falsos para persuadir as vítimas a clicar, abrir ou responder aos seus golpes. Muitas vezes, os golpes de phishing são bem elaborados e imitam sites reais, dificultando a detecção por parte dos usuários.
Conheça os principais tipos de phishing
Existem vários tipos de phishing, mas todos têm o mesmo objetivo: enganar as pessoas para obter seus dados.
Phishing por e-mail
Um e-mail que parece legítimo, mas contém um link ou um anexo malicioso que leva a um site falso ou instala um malware no computador da vítima.
Spear phishing
Mira em uma pessoa específica em uma organização, usando informações pessoais ou profissionais para tornar o e-mail mais convincente.
Vishing, ou phishing por voz
Aqui usa-se o telefone para se passar por alguém de confiança e tentar obter informações da vítima, como senhas ou números de cartão de crédito.
Smishing (SMS + Phishing)
Envia-se uma mensagem de texto com um link ou um código que induz a vítima a clicar ou responder, expondo seus dados ou instalando um malware em seu celular.
Pharming
O DNS (Domain Name System) de um site legítimo é alterado para redirecionar os usuários para um site falso, no qual podem roubar suas credenciais de acesso ou infectar seus dispositivos.
Pop-up phishing
Uma janela pop-up aparece em um site legítimo ou no navegador da vítima, alertando sobre algum problema de segurança ou outra questão para induzir a vítima a clicar ou fornecer informações.
Evil twin phishing (ou gêmeo malvado)
Uma rede Wi-Fi falsa que se parece com uma legítima é criada, como a de um café ou de um hotel, e intercepta os dados dos usuários que se conectam a ela.
Watering hole phishing
O cibercriminoso compromete um site que é frequentado por um grupo específico de pessoas, como funcionários de uma empresa ou membros de uma comunidade, e usa-o para lançar ataques direcionados contra essas pessoas.
Os tipos de ataques se modernizam sempre, e não é possível elencar todas as formas “criativas” que os cibercriminosos usam para enganar os usuários e roubar seus dados pessoais. Por isso, a chave é saber identificar um ataque de phishing quando se deparar com um. Saiba como!
Saiba reconhecer uma tentativa de phishing
Para reconhecer uma tentativa de phishing, é preciso estar atento a alguns sinais de alerta que podem indicar que o e-mail, a mensagem ou o site não são confiáveis. Alguns desses indícios claros são:
- Ofertas tentadoras e muito boas para ser verdade, como prêmios, descontos ou reembolsos, para atrair a atenção das vítimas e fazê-las clicar em links ou anexos maliciosos.
- Ameaça ou urgências, como dizer que sua conta será bloqueada, seu cartão será cancelado ou seu computador está infectado, para pressionar as vítimas a agir rapidamente sem verificar a fonte da mensagem.
- Erros de ortografia ou gramática.
- Endereços de e-mail ou números de telefone falsos ou parecidos com os de instituições legítimas, mas que apresentam alguma diferença sutil.
- Link ou anexo desconhecido, que você não estava esperando receber, mesmo que pareça ser de uma instituição conhecida.
- Solicitação de informações pessoais, como nome completo, CPF, número de cartão de crédito, senha ou código de segurança, por e-mail, mensagem ou telefone.
- Falta de personalização, com saudações do tipo “Prezado cliente” ou “Caro usuário”, em vez de usar o nome da vítima.
Muitos desses contatos podem parecer legítimos, mesmo porque alguns criminosos podem até estar em posse de suas informações pessoais, como nome e CPF (originados de algum vazamento de dados). Por isso, é sempre importante ter a certeza que a fonte do contato é legítima. Saiba como!
Entenda como se proteger
Para se proteger de uma tentativa de phishing, é preciso adotar algumas medidas de segurança e precaução, sejam ferramentas automatizadas, seja boas práticas de segurança. Veja só!
Instale softwares de segurança
Usar um software de segurança no seu computador e celular, e mantê-lo atualizado com as últimas versões e correções. O software de segurança pode bloquear o acesso a arquivos maliciosos, detectar e remover malwares e alertar sobre sites falsos ou perigosos.
Desconfie de anexos e links
Não clique em links ou anexos suspeitos em e-mails ou mensagens, mesmo que pareçam vir de fontes confiáveis. Verifique sempre o endereço do remetente e o conteúdo da mensagem antes de tomar qualquer ação.
Na dúvida, não clique no link e nem baixe nenhum arquivo. Primeiro, entre em contato com o e-mail ou telefone oficial fornecido pela instituição para obter mais informações.
Não forneça informações pessoais ou financeiras
A menos que você tenha iniciado o contato ou tenha certeza da identidade do destinatário, não informe suas informações pessoais por e-mail, mensagem ou telefone. As instituições legítimas nunca pedem esse tipo de informação por esses meios.
Verifique a autenticidade dos sites que você visita
Não deixe de se certificar que a url (na barra de endereços) se inicia com “https” e se há um ícone de cadeado na barra de endereço. Isso indica que o site é seguro e criptografado. Também preste atenção se o domínio do site corresponde ao da instituição legítima. Nesse momento, fique atento às pequenas diferenças na grafia.
Use senhas fortes e diferentes para cada conta
Além de senhas fortes e não as repetir, altere-as com frequência. Você também pode usar um gerenciador de senhas para armazenar suas senhas de forma segura.
Outra dica é ativar a autenticação de dois fatores (2FA) nas suas contas online, sempre que possível. Isso adiciona uma camada extra de segurança, além da senha.
Para se proteger de tentativas de phishing, é fundamental se manter informado sobre as práticas bem comuns e adotar medidas de segurança avançadas. Isso protegerá seus dados pessoais e os de sua empresa.
Gostou do conteúdo? Então, não deixe de acompanhar nossa página do blog para conferir os novos posts. Entre em nossas redes sociais e nos siga. Assim, você não perde nada! Estamos no Facebook, no YouTube, no LinkedIn e no Instagram.