Você já recebeu um e-mail urgente de uma instituição financeira pedindo para confirmar credenciais, alertando para falhas de segurança ou até solicitando a alteração imediata da senha? Se sim, é provável que você ou a sua empresa tenha sido alvo de um ataque denominado phishing.
O phishing é uma das táticas mais comuns e perigosas, usadas para enganar pessoas e obter informações confidenciais.
Para te ajudar a evitar dores de cabeça e acelerar a proteção dos seus dados, vamos explicar mais sobre essa ameaça cibernética, citar alguns dos exemplos e fornecer dicas valiosas. Vamos começar?
O que é phishing?
Como você viu acima, o phishing é o crime cibernético que consiste em enganar usuários para que eles compartilhem informações confidenciais.
Funciona como em uma verdadeira pescaria, já que usuários mal-intencionados tentam fisgar uma vítima ao mandar um e-mail ou mensagem que imita entidades ou fontes confiáveis, como conhecidos, uma instituição governamental ou até o banco, fingindo legitimidade.
A mensagem pode até conter imitações de sites confiáveis, exigindo que a vítima responda com dados importantes. Dessa forma, tenta roubar dinheiro, informações pessoais e senhas.
A técnica geralmente cria um senso de urgência para que a vítima responda imediatamente. E, diferente de outros tipos de ameaças, não requer um conhecimento técnico tão grande por parte de quem ataca.
Como funciona o phishing?
No ataque conhecido como phishing, é preparada uma isca para enganar a vítima, esperando que o chamariz seja mordido.
A origem do nome “phishing” pode vir de “fishing” e “phony”, mas ainda existe outra possibilidade: em meados de 1970, havia uma prática constante de usar hacks de pouca tecnologia no sistema de telefonia.
Esses primeiros hackers eram chamados de “phreaks”, combinando “phone” (telefone) com “freaks”, que significa fanáticos. O uso do nome foi primeiramente atribuído a um hacker de meados de 1990, chamado Khan C Smith.
A primeira vez que o phishing foi publicamente registrado foi em 2 de janeiro de 1996, em um fórum de discussão chamado AOHell. Nos anos 2000, o phishing focou em sistemas de pagamento online, bancos e clientes. Assim, posteriormente, os sites e redes sociais viraram alvo, já que as informações que entregam são úteis para os hackers.
O processo de phishing geralmente envolve quatro etapas principais.
1. Disfarce
Os cibercriminosos usam uma cópia quase idêntica de um site legítimo, e-mail ou mensagem. Pode ser o site de um banco, mídia social, um serviço e mais. Assim, podem ganhar a confiança da vítima, fazendo ela acreditar que está interagindo com uma entidade confiável
2. Isca
Os atacantes podem começar com comunicações iniciais que parecem ser legítimas, partindo para a mensagem que pode conter um link para o site falso. O conteúdo da mensagem geralmente cria um senso de urgência ou medo para persuadir a vítima, incentivando ações imediatas para resolver o suposto problema.
3. Captura
Quando a vítima clica no link fornecido na mensagem, ela é redirecionada para o site falso. Lá, é solicitado que ela insira as suas credenciais de login ou outras informações sensíveis.
4. Uso fraudulento das informações
Assim, os cibercriminosos usam os dados para fins mal-intencionados, como roubo de identidade ou fraude financeira. Eles podem acessar a conta bancária da vítima, fazer compras com o cartão de crédito ou até roubar a identidade.
Exemplos mais comuns de phishing
Abaixo estão alguns dos exemplos mais comuns de ataques de phishing.
1. E-mails
O tipo mais comum de phishing, onde os criminosos enviam um e-mail que parece ser de uma organização legítima solicitando que atualize dados ou resolva questões. Exemplo:
“De: Banco XYZ [support@bancoxyz.com]
Assunto: Ação Urgente Necessária
Caro cliente,
Detectamos atividades suspeitas na sua conta. Clique [aqui] para verificar a sua conta.”
2. Smishing ou phishing via SMS
Similar ao e-mail de phishing, mas realizado através de mensagens SMS. Exemplo:
“Seu banco: Detectamos atividades suspeitas na sua conta. Clique no link para verificar: http://exemplodebanco.com
3. Vishing
Neste tipo de ataque, o cibercriminoso liga para a vítima e se passa por um representante de uma organização. Exemplo de script: “Olá, eu sou gerente do seu banco e estamos detectando atividades suspeitas em sua conta. Podemos confirmar alguns detalhes?”
4. Phishing de mídia social
Os criminosos criam perfis falsos ou páginas em plataformas de mídia social para enganar os usuários e coletar as suas informações.
Você pode, por exemplo, receber uma mensagem direta de um de seus contatos no Facebook com um simples "Ei, você precisa ver isso!". Pode receber links enganosos ou entrar em uma página falsa de rede social, fazendo login e entregando os seus dados.
5. Spear phishing
Como você viu, este ataque é personalizado para parecer mais autêntico, geralmente usando informações que são específicas para o destinatário.
O cibercriminoso pode, por exemplo, enviar um e-mail para um funcionário da Empresa X disfarçado para parecer que veio do novo provedor de serviços de TI. Assim, pede credenciais que posteriormente serão usadas para fraudes.
Como é possível identificar um e-mail de phishing?
Agora, vamos apresentar algumas dicas que podem te ajudar a identificar uma mensagem de phishing por e-mail.
1. Verifique o endereço do remetente
Verifique atentamente o endereço de e-mail do remetente. Muitas vezes, os e-mails de phishing vêm de endereços que tentam imitar os endereços legítimos, mas apresentam pequenas diferenças.
2. Analise o conteúdo
O conteúdo do e-mail pode dar pistas de que é uma tentativa de phishing. Erros gramaticais ou de ortografia, uso estranho de capitalização ou pontuação, ou um tom de urgência não característico são sinais de alerta.
3. Cuidado com links suspeitos
Se você receber um e-mail com um link, passe o mouse sobre o link sem clicar nele. Isso permitirá que você veja a URL real. Se a URL parecer suspeita ou não corresponder ao site, é melhor não clicar.
4. Pedidos de informações pessoais
Empresas legítimas geralmente não solicitam informações sensíveis por e-mail. Se um e-mail estiver pedindo suas informações pessoais ou financeiras, é provável que seja um caso de phishing.
5. Verifique a saudação
Os e-mails de phishing podem começar com uma saudação genérica, como "Caro Cliente", em vez de usar o seu nome.
6. Anexos não solicitados
Tenha cuidado com e-mails que incluem anexos que você não esperava. Eles podem conter malware, ransomware ou outra ameaça online.
Lembre-se que, se estiver em dúvida, é melhor excluir o e-mail ou, se parece que a mensagem vem de uma empresa ou serviço que você usa, entre em contato com eles diretamente para verificar a situação.
Como se proteger de e-mail de phishing no ambiente corporativo?
Proteger-se contra e-mails de phishing no ambiente corporativo requer uma abordagem combinada, incluindo toda a equipe. Então, aqui estão algumas dicas para te ajudar.
1. Capacitação
Realize treinamentos em segurança cibernética regularmente para educar os colaboradores sobre o que é phishing, como identificar e como se proteger. Encoraje os funcionários a relatar quaisquer e-mails suspeitos ao departamento de TI.
2. Recomendações de verificação
Incentive os colaboradores a sempre verificar o endereço de e-mail do remetente antes de responder ou clicar em links. E, se o link parece suspeito, é melhor evitar cliques, identificar se a URL é a mesma da entidade confiável ou entrar em contato diretamente com quem teria enviado a mensagem para confirmar se é válida.
3. Aplique a tecnologia para proteção de dados
Use filtros de spam robustos que podem detectar e bloquear e-mails de phishing. Existem também tecnologias de segurança de e-mail disponíveis que podem fornecer uma camada adicional de proteção, como a autenticação de e-mail SPF, DKIM e DMARC.
4. Atualizações, backups patches regulares
Mantenha todos os softwares e aplicativos atualizados com as últimas correções de segurança para proteger o seu sistema contra vulnerabilidades. Faça backup dos dados regularmente para evitar perdas.
5. Tenha uma política de segurança
Implemente uma política clara de segurança cibernética que seja bem comunicada para todas as equipes. Assim, você passa a orientar os colaboradores sobre o que fazer e o que não fazer.
6. Use autenticação de dois fatores e senhas fortes
Implemente a autenticação de dois fatores sempre que possível. Isso adiciona uma camada extra de segurança que pode ajudar na proteção contra ataques de phishing. Além disso, implemente ma política de senhas fortes e incentive a alteração delas regularmente.
Confira o nosso E-book Guia definitivo sobre Políticas de Segurança!
Conte com as práticas de segurança do Zoho Mail para sua empresa
O Zoho Mail é uma plataforma de e-mail profissional segura que oferece uma gama de recursos para proteger a sua comunicação diária.
1. Segurança física
A Zoho garante a proteção física dos seus dados, assegurando que seus servidores estejam localizados em instalações seguras com acesso controlado.
2. Proteção de dados de e-mail
A Zoho utiliza várias técnicas para proteger seus dados de e-mail, incluindo criptografia em repouso e em trânsito, e medidas de segurança avançadas para proteger contra ataques externos.
Um exemplo é o uso de DMARC, uma tecnologia que ajuda a proteger contra a falsificação de e-mails e permite que os proprietários especifiquem como os e-mails serão filtrados, prevenindo ataques de phishing.
3. E-mail criptografado
Com a Zoho, seus e-mails são criptografados durante o trânsito usando TLS (Transport Layer Security), garantindo que ninguém além do destinatário pretendido possa ler.
Além disso, o Zoho Mail possui S/MIME, uma tecnologia que permite a criptografia de mensagens a todo momento. Isso significa que, mesmo se um invasor interceptar uma mensagem, não será capaz de ler.
4. Acesso seguro ao e-mail
A Zoho oferece várias opções para acesso seguro ao e-mail, incluindo autenticação de dois fatores (2FA) e Single Sign-On (SSO), método de autenticação que permite que os usuários acessem múltiplas aplicações com Autenticação Única.
5. Certificados e conformidade
A Zoho adere a várias normas e certificações internacionais de segurança, demonstrando seu compromisso em proteger os dados dos usuários.
Além de fornecer um ambiente de e-mail altamente seguro, o Zoho Mail oferece o melhor custo-benefício. Com planos de preços flexíveis, você pode garantir uma solução de e-mail segura e eficiente para sua empresa.
Comece a experimentar o Zoho Mail hoje mesmo! A plataforma faz parte da suíte de produtividade Zoho Workplace, um sistema completo que impulsiona a comunicação e a colaboração das equipes na sua empresa.
A plataforma integrada oferece uma variedade de ferramentas que ajudam a melhorar a eficiência, desde a criação de documentos até a comunicação ágil. Entre os aplicativos, estão, por exemplo, o Zoho Mail, o Zoho Writer como processador de texto com edição colaborativa e o Zoho Sheet para gestão de planilhas.
Conte também com o Zoho Show para construir apresentações online personalizadas e dinâmicas, contando com uma variedade e modelos - mais de 100. Faça videochamadas e webinars pelo Zoho Meeting e use o chat corporativo Zoho Cliq.
Armazene documentos na nuvem Zoho WorkDrive e tenha a intranet social corporativa denominada Zoho Connect, que atualiza a sua equipe sobre as atividades, facilita a colaboração e comunicação, impulsiona a integração e mais.
O Zoho Workplace conta com segurança e proteção de dados avançada para todos os âmbitos do tarbalho em escritório. Transforme a forma como a sua equipe trabalha e proteja todos os dados contra ameaças como Phishing e mais!
Comments