O ataque de phishing é uma estratégia de ciberataque que busca enganar os usuários a fim de obter algum benefício. Esse ataque é mais comum através de e-mails falsos, mas também pode ser feito em banners e anúncios presentes em sites, mensagens de redes sociais, ligações e SMS.
Os alvos destes ataques podem ser usuários comuns, na busca por dados de login de contas, bancos, cartões e portais, e até empresas com o objetivo de realizar transações financeiras.
Com a ajuda da engenharia social, os criminosos utilizam artifícios e se disfarçam de empresas, marcas e pessoas que são do conhecimento ou convívio da vítima. Entenda melhor como a engenharia social funciona com esse vídeo:
Na maior parte dos casos, o principal objetivo desse ataque é que a vítima forneça dados sigilosos, como documentos pessoais, informações bancárias, senhas, arquivos confidenciais, entre outros.
Outra estratégia utilizada dentro do phishing são os links maliciosos, que quando acessados, fazem com que a vítima seja redirecionada a um site falso ou instale arquivos com vírus e malwares.
Como esse golpe pode chegar até o seu negócio
Os alvos de phishing geralmente não são específicos, podendo causar diversos prejuízos para uma empresa. Este é um tipo de ataque que pode estar presente em diversos locais e atingir qualquer tipo de usuário. Veja a seguir algumas formas:
Phishing comum
Essa tática é mais ampla e não tem nenhum alvo específico. Nesse ataque de phishing é feito um disparo de e-mail em massa, podendo estar disfarçado de uma empresa, grupo ou serviço que pode ser do conhecimento da vítima. Como é um golpe mais abrangente, o criminoso apenas conta com o acaso e a sorte para coletar informações de usuários, ou instalar arquivos maliciosos que possam favorecer outros tipos de ataques.
Spear phishing
Esse tipo de ataque é direcionado a um grupo específico de vítimas. Nesse caso, pode ser realizado contra funcionários de uma empresa, clientes de uma marca, órgão do Governo, entre outros. O objetivo desse tipo de phishing é acessar dados sigilosos como: arquivos confidenciais, informações de usuários e clientes ou relatórios financeiros.
Clone phishing
Com este ataque, os cibercriminosos fazem uma cópia idêntica de um site legítimo para atrair suas vítimas. Eles podem criar sites de grandes empresas, e-commerces, páginas do Governo, bancos, ou qualquer instituição que apresente grande acesso de usuários. Com isso, o usuário acaba se confundindo, acessando essa página e inserindo as suas informações pessoais, como o número de contas, senhas, dados de acesso, documentos pessoais, entre outros.
Whaling
Originário da palavra whale (baleia em inglês), esse tipo de ataque está focado em atingir pessoas com mais relevância, poder aquisitivo, visibilidade ou que ocupem cargos de alto nível em empresas. Eles podem buscar coletar informações de CEOs, diretores, gestores, etc. Para despertar o interesse das vítimas, esses ataques podem trazer notificações falsas sobre a empresa, como intimações judiciais.
Vishing
Assim como o phishing convencional, esse ataque também busca coletar dados sigilosos e pessoais das vítimas. Contudo, ele é feito com uma ligação direta por voz ao telefone da vítima.Com uma abordagem convincente, esse ataque consegue enganar a vítima e obter vantagens financeiras mediante fraude.
Smishing
Utilizando o serviço de SMS, esse tipo de ataque de phishing busca fazer com que o usuário acesse um link malicioso que indica que o usuário deve abrir para obter um prêmio, verificar informações de acesso, conferir uma notificação extrajudicial ou receber algum valor.
Phishing atravéis de mídia social
Promoções irresistíveis, campanhas de descontos e marcações em publicações, são todos recursos utilizados para um ataque de phishing em redes sociais. Utilizando perfis falsos de grandes empresas, esses criminosos buscam solicitar dados e informações das vítimas, e até mesmo exigir pagamentos fraudulentos.
Quais empresas podem ser alvos de phishing?
De forma geral, não existe um “perfil ideal” de empresa que pode sofrer um ataque de phishing. Praticamente todas as empresas que possuem qualquer processo ou sistema conectado à internet podem ser alvo. Por esse motivo, cada vez mais usuários podem estar sujeitos a todos os tipos de ataques cibernéticos, sendo essencial que a empresa conte com uma política de utilização da internet que ajude a aumentar a segurança das suas informações e proteger os seus dispositivos da melhor forma possível.
Os colaboradores precisam ter muita consciência quanto ao uso da internet na empresa e saber identificar possíveis armadilhas que possam causar algum juízo para o negócio.
Além disso, a empresa também pode utilizar ferramentas de controle de acesso que ajudem a manter esse tipo de ameaça longe dos usuários e evitar acessos indevidos, como o sites de entretenimento, redes sociais, e-commerces, entre outros, que aumentam a chance de algum dos usuários cair nesse tipo de golpe.
Uma vez que os alvos de phishing não são específicos, é muito importante que todos os negócios encontrem formas inteligentes de proteger os seus recursos e informações.
A proteção é possível?
A principal dica para se proteger desse tipo de golpe é prestar muita atenção aos conteúdos recebidos sem solicitação, anônimos, que apresentem uma sequência de letras e números sem sentido, erros ortográficos e gramaticais, etc. Esses são os principais sinais de alerta de que talvez o conteúdo seja uma armadilha.
No caso de e-mails recebidos em nome de amigos ou colegas de trabalho, também é importante prestar atenção aos sinais de alerta, como: se a escrita é compatível com perfil da pessoa que está te enviando, se ele cita o seu nome, se apresenta conteúdo genérico, entre outras informações.
É muito comum que os e-mails de phishing contenham ameaças do tipo “caso este e-mail não seja respondido em 48 horas, a sua conta ou seu acesso serão cancelados”. Esse tipo de e-mail costuma conter links para páginas ou ou formulários para que você insira suas informações.
Como dissemos anteriormente, a sua empresa pode contar com uma ferramenta de controle de acesso à internet eficiente, que ajude a evitar alguns acessos que possam levar armadilhas virtuais.
