Phishing: Como se Defender Contra essa Ameaça Invisível

O que é phishing?

Phishing é um tipo de ataque bastante comum e relativamente fácil de realizar, que explora a natureza humana e suas fraquezas através do que chamamos de engenharia social.

O primeiro registro de um ataque phishing foi um e-mail enviado em meados da década de 1990, quando impostores se passaram por funcionários da antiga AOL (América On-line) para roubar credenciais por meio de mensagens e e-mails em nome da empresa.

Esta tática é bastante tradicional e continua em uso ainda hoje, principalmente para ataques generalizados e não direcionados, mas o golpe evoluiu de simples e-mails para operações complexas que exploram a confiança humana e, diferente das mensagens mal redigidas dos anos 90, os criminosos de hoje executam campanhas sofisticadas, se passando por entidades confiáveis para comprometer credenciais valiosas e ganhar acesso a contas críticas.

Tipos populares de phishing:

Compreender os tipos de ataque de phishing prepara, sua empresa e seus usuários para identificá-los. Por isso, listamos aqui alguns dos principais tipos de phishing, para que você possa se proteger contra este tipo de ataque:

  • Phishing por e-mail: o tipo mais comum, onde os hackers enviam e-mails falsos para enganar os usuários a clicar em links maliciosos ou fornecer suas credenciais.
  • Smishing: phishing por SMS, usando mensagens de texto para enganar os usuários.
  • Vishing: phishing por voz, usando chamadas telefônicas para enganar os usuários.
  • Spear phishing: um ataque direcionado que usa engenharia social para personificar um indivíduo específico.
  • Whaling: um ataque direcionado de alto nível que visa executivos.
  • Phishing de clonagem: envia um email falso que parece ser uma réplica de um email legítimo anterior com um link malicioso.
  • Phishing em mecanismos de pesquisa: hackers criam sites falsos que aparecem em pesquisas comuns do Google para induzir os usuários a inserir suas credenciais.

Quem os phishers tentam personificar?

Aagora que você conhece os tipos mais populares de phishing, é importante que seus usuários saibam quem os atacantes podem tentar personificar para realizar o ataque. Esta é uma informação crítica para que o usuário final, saiba diferenciar um e-mail legítimo de uma tentativa de phishing.

Abaixo, listamos alguns os tipos mais comuns de personificação usadas pelos criminosos:

  • Representantes de contas online (bancos, empresas de cartão de crédito etc.);
  • Superiores, RH ou colegas de trabalho;
  • Clientes;
  • Governos;
  • Novas conexões em redes sociais ou trabalho remoto;

Como detectar uma tentativa de phishing?

A gramática das mensagens costumava comprometer sua credibilidade e ser um fator chave na detecção de tentativas de phishing. Porém, com a evolução do ataque e sua sofisticação, muitos não contêm mais esses erros, e é preciso que outras características sejam observadas.

Procure sempre pistas contextuais quando for solicitado que se clique em um link, que se faça algum download de arquivo, login em uma conta qualquer ou que se solicite o compartilhamento de informações, ativos ou valores em dinheiro.

Pistas comuns que podem alertar alguém sobre uma tentativa de phishing incluem:

  • Método de comunicação anormal: canal, hora do dia ou tom da comunicação estranho.
  • Tópico ou solicitação suspeita: solicitações urgentes, inesperadas ou estranhas, especialmente por informações confidenciais.
  • Links e informações suspeitas do remetente: URLs estranhos ou endereços de email disfarçados.
  • Erros Gramaticais e Ortográficos: apesar de sofisticados estes erros ainda acontecem e podem ser sinal de phishing.
  • Solicitação de informações confidenciais: seja cauteloso com solicitações inesperadas de informações confidenciais.

Como responder a suspeitas de phishing?

Caso suspeite que está sendo vítima de um ataque phishing, tenha em mente as seguintes ações a serem tomadas:

  • Experimente outro canal: tente o contato com o remetente em outro canal.
  • Vá para a fonte: digite o URL manualmente em vez de clicar em links.
  • Valide as informações: verifique a legitimidade das reclamações feitas no email.

Nestes casos, nunca interaja com uma mensagem suspeita: Não responda nem clique ou abra arquivos em anexo, e denuncie a tentativa de golpe o mais rápido possível ao departamento de TI ou Segurança da Informação.

Como prevenir o phishing?

Infelizmente não há como impedir que você, sua empresa e seus colaboradores sejam alvo desta prática, mas é possível mitigarmos este risco com algum as ações simples, e algumas ferramentas podem ajudar nesta tarefa.

Conheça algumas ações que dificultam o sucesso do phishing e outros golpes:

  • Realize treinamentos regulares de conscientização sobre phishing e outros tipos de ataque;
  • Execute simulações de phishing e outros tipos de ataque em sua empresa, preparando seus usuários para situações reais;
  • Aumente a segurança dos acessos e senhas com políticas de login único (SSO) e autenticação multifator (MFA);
  • Implemente políticas de acesso condicional que garantam a segurança e a idoneidade dos acessos realizados;
  • Implemente serviços de IAM (gestão de identidade) que garantam a confiança do acesso;

Há 19 anos a MacSolution ajuda empresas do Brasil todo a se protegerem desta e de outras ameaças cibernéticas.

Podemos ajudar a sua empresa também!

Na América Latina, somos a maior MSP parceira da JumpCloud, uma ferramenta de IAM presente em mais de 160 países e mais de 200.000 empresas espalhadas pelo mundo todo. Com ela, sua empresa tem num só lugar:

  • Gestão de Identidades e Acessos (IAM);
  • Login único (SSO);
  • Login confiável para Wi-Fi (RADIUS);
  • Gestão de Dispositivos (MDM) Windows, Apple, iOS e Linux;
  • Gestão de Dispositivos Android (EMM);
  • Acesso Remoto;
  • Políticas de Acesso Condicional;
  • Políticas Zero Trust;
  • Gestão de Atualização e Patches Windows, Mac e Linux;

Tudo isso com apenas uma licenças, em um único painel, e com o suporte do maior time de especialistas em gestão de identidades, acessos (IAM) e dispositivos (MDM) do Brasil.

Quer proteger sua empresa e seus usuários contra phishing e outros tipos de ataque?

Vem falar com a gente!