Phishing é um tipo de crime cibernético que usa fraude, truque ou engano para manipular as pessoas e obter informações confidenciais, como senhas, números de cartão de crédito, informações bancárias ou outros dados pessoais. O phishing ocorre quando um invasor, disfarçado de entidade confiável, induz a vítima a abrir um email, mensagem instantânea ou mensagem de texto e clicar em um link malicioso, baixar um anexo infectado ou fornecer dados sensíveis em um site falso.
O #phishing é uma das ameaças mais comuns e perigosas na internet, pois pode causar prejuízos financeiros, roubo de identidade, extorsão ou até mesmo espionagem. Segundo o relatório Custo de uma violação de dados em 2022 da IBM , que analisou 550 empresas em 17 países, todas tinham sofrido um ou mais ataques cibernéticos, sendo que as empresas do setor financeiro tiveram um custo médio de US$5,97 milhões por ataque.
Tipos de ataques de phishing
Existem vários tipos de ataques de phishing, que variam em complexidade e sofisticação. Alguns dos mais comuns são:
- Phishing por email: é o tipo mais tradicional e frequente de phishing, no qual o invasor envia um email falso para a vítima, tentando se passar por uma pessoa ou organização legítima, como um banco, uma loja online, um serviço de pagamento ou um provedor de serviços. O email pode conter um assunto urgente ou alarmante, como uma cobrança indevida, uma atualização cadastral, uma promoção imperdível ou uma notificação judicial. O objetivo é fazer com que a vítima clique em um link que leva a um site fraudulento, onde ela será solicitada a inserir seus dados pessoais ou financeiros. Outra possibilidade é que o email contenha um anexo malicioso, que ao ser aberto pode infectar o computador da vítima com um #malware (software malicioso), que pode roubar informações, criptografar arquivos ou permitir o acesso remoto do invasor.
- Phishing por mensagem: é uma variação do phishing por email, mas usando outros canais de comunicação, como SMS, WhatsApp, Telegram ou redes sociais. O invasor envia uma mensagem curta e convincente para a vítima, usando o mesmo tipo de isca que no phishing por email: uma oferta tentadora, uma cobrança indevida, uma atualização cadastral ou uma notificação judicial. A mensagem contém um link malicioso que leva a vítima a um site falso ou a um aplicativo malicioso.
- Phishing por telefone: é um tipo de phishing no qual o invasor liga para a vítima e se identifica como um representante de uma empresa ou instituição confiável, como um banco, uma operadora de cartão de crédito, uma agência governamental ou uma empresa de segurança. O invasor usa técnicas de persuasão e engenharia social para convencer a vítima a fornecer informações pessoais ou financeiras, como número de conta bancária, senha, código de segurança ou dados cadastrais. Em alguns casos, o invasor pode pedir para a vítima digitar os dados no teclado do telefone ou acessar um site fraudulento.
- Spear phishing: é um tipo de phishing mais direcionado e personalizado, no qual o invasor pesquisa sobre a vítima e usa informações específicas para aumentar sua credibilidade e chance de sucesso. Por exemplo, o invasor pode enviar um email falso para a vítima usando o nome e o endereço de um colega de trabalho, amigo ou familiar. O email pode conter detalhes sobre o trabalho, passatempos ou interesses da vítima, bem como referências a eventos recentes ou futuros. O objetivo é fazer com que a vítima baixe um anexo malicioso ou clique em um link malicioso.
- #Whaling: é um tipo de spear phishing que tem como alvo pessoas com cargos altos ou influentes em uma organização, como executivos, gerentes ou diretores. O invasor usa informações públicas ou obtidas por meio de outras fontes para se passar por uma pessoa ou entidade de confiança, como um cliente, um fornecedor, um parceiro ou uma autoridade. O invasor envia um email falso para a vítima, solicitando uma ação urgente ou confidencial, como uma transferência bancária, uma aprovação de contrato, uma atualização de dados ou uma verificação de segurança.
Como se prevenir do phishing
O phishing é um ataque que explora a vulnerabilidade humana; por isso, é importante estar atento e desconfiado de qualquer comunicação que peça informações pessoais ou financeiras, que contenha erros ortográficos ou gramática, que use um tom alarmante ou ameaçador ou que ofereça benefícios excessivos ou irreais. Algumas dicas para se proteger do phishing são:
- Não clique em links ou baixe anexos de emails ou mensagens suspeitas. Verifique o endereço do remetente e o conteúdo da mensagem antes de abrir qualquer link ou anexo. Se tiver dúvidas sobre a autenticidade da comunicação, entre em contato com a pessoa ou organização que supostamente a enviou por outro meio, como telefone ou site oficial.
- Não forneça seus dados pessoais ou financeiros por email, mensagem ou telefone. Nenhuma empresa ou instituição séria solicita esse tipo de informação por esses meios. Se você receber um pedido desse tipo, ignore-o ou denuncie-o.
- Use um software de segurança cibernética, como o Avast Free Antivirus, (só citando um exemplo) que pode detectar e bloquear golpes de phishing, bem como proteger seu computador contra malware e outras ameaças online.
- Mantenha seu sistema operacional e seus aplicativos atualizados. As atualizações podem corrigir vulnerabilidades que podem ser exploradas pelos invasores para realizar ataques de phishing.
- Use senhas fortes e diferentes para cada conta online. As senhas devem ter pelo menos oito caracteres e combinar letras maiúsculas e minúsculas, números e símbolos. Você pode usar um gerenciador de senhas para criar e armazenar suas senhas de forma segura.
- Ative a verificação em duas etapas sempre que possível. A verificação em duas etapas é um recurso de segurança que exige um código adicional, além da senha, para acessar uma conta online. O código pode ser enviado por SMS, email ou aplicativo. Dessa forma, mesmo que sua senha seja roubada em um ataque de phishing, o invasor não poderá acessar sua conta sem o código.
Se você cair em um ataque de phishing, aqui estão algumas ações que você pode tomar, coloquei links, onde encontrei as melhores práticas e alguns colegas de pós em Ciências de Dados me passaram:
Reporte o golpe para as autoridades: Em caso de se tornar vítima de um golpe, reporte a fraude às autoridades e empresas envolvidas. Denuncie à polícia e notifique o que aconteceu a todas as empresas envolvidas no caso, como o seu banco e a sua administradora de cartão de crédito. Lembrem-se, funcionários de bancos NÃO PEDEM SENHA PARA TRANSAÇÕES.
Desconecte os seus dispositivos: Dependendo do caso, como um ataque de ransomware, desconecte os seus dispositivos da internet e da rede até que o problema esteja resolvido. Isto pode evitar mais danos, reduzindo o risco de propagação do malware.
Utilize uma solução de antivírus e antimalware: Escaneie a sua máquina com uma boa ferramenta para detectar vírus e outros tipos de malware.
Atualize as suas senhas: A primeira ação a ser tomada ao se tornar vítima de qualquer tipo de golpe na internet é atualizar contas e senhas.
Faça backup dos seus arquivos mais importantes: Se ainda não o fez, faça backup de seus arquivos mais importantes antes que eles sejam infectados ou roubados.
Mantenha-se atualizado: Aprenda com os erros e mantenha-se atualizado sobre fraudes na internet.
P.S.: Ransomware é um tipo de malware, ou software malicioso, que bloqueia os dados ou o dispositivo da vítima e ameaça mantê-los bloqueados, a menos que a vítima pague um resgate. Geralmente, a infecção por ransomware ocorre da seguinte maneira: o malware primeiro ganha acesso ao dispositivo. Dependendo do tipo de ransomware, todo o sistema operacional ou apenas arquivos individuais são criptografados. Um resgate é, então, exigido das vítimas em questão.
Os ataques de ransomware podem usar vários métodos para infectar um dispositivo ou rede. Alguns dos vetores de infecção ransomware mais conhecidos incluem: E-mails de phishing e outros ataques de engenharia social.
Em 2021, ataques de ransomware representaram 21% de todos os ciberataques e custaram às vítimas um valor estimado em USD 20 bilhões. Os primeiros ataques de ransomware exigiam um resgate para liberar os dados ou um dispositivo.
Mas atualmente, os cibercriminosos estão cada vez mais ousados. O X-Force Threat Intelligence Index de 2022 mostra que praticamente todos os ataques de ransomware atuais são de ‘extorsão dupla’, exigindo um resgate para liberar dados e evitar que sejam distribuídos.
Comments