Phishing 101: um guia para iniciantes sobre ataques de phishing

Índice

• 1. O que é phishing?

• 2. Como funciona o phishing

• 3. Tipos de Phishing

• 4. Golpes de phishing: uma visão geral

• 5. Como prevenir ataques de phishing

• 6. Como denunciar phishing

O que é phishing?

O phishing pode ser descrito como um tipo de cibercrime no qual as vítimas são contatadas por e-mail, telefone ou mensagem por um indivíduo ou grupo de pessoas que se fazem passar por uma instituição legítima.

O objetivo é atrair as vítimas para fornecer dados confidenciais, como informações pessoais, dados bancários, detalhes do cartão de crédito e senhas. Os dados são então usados para identificar alvos significativos e fraudar essas vítimas.

O phishing ocorre há anos: os primeiros golpes de phishing aconteceram nos anos 90 com pessoas se passando por administradores da AOL. Essas pessoas coletavam credenciais de login de suas vítimas para que pudessem acessar a Internet gratuitamente.

Em maio de 2000, outro golpe de phishing chamado Love Bug começou nas Filipinas. Você receberia uma mensagem em sua caixa de correio intitulada "ILOVEYOU". Em seguida, o corpo do e-mail instruiria você a tocar em um anexo, o que liberaria um vírus em seu sistema. Desde então, o phishing evoluiu em complexidade e uso ao longo dos anos.

Como funciona o phishing

É segunda-feira de manhã, você está classificando seus e-mails e limpando sua pasta de spam. Por curiosidade, você abre um e-mail, e o conteúdo é chocante. Alguém afirma ser um representante do seu banco.

Sua conta será desativada em breve e você deverá clicar em um link ou fornecer informações bancárias confidenciais para não perder sua conta bancária. É assim que o phishing acontece: como uma mensagem aleatória escrita para você fornecer seus dados.

O phishing em geral usa a manipulação como sua principal ferramenta. As mensagens muitas vezes enviadas por mensagens de texto, e-mails ou mesmo mensagens de mídia social são escritas com a intenção de causar medo e sensação de urgência. Os alvos são identificados em fontes públicas de informação, como mídias sociais.

Depois que os nomes dos alvos, cargos, detalhes pessoais e endereços de e-mail são identificados, mensagens críveis são criadas e enviadas. Essas mensagens geralmente incluem um link malicioso, anexo ou uma chamada para responder com informações confidenciais.

A intenção do phishing pode ser instalar malware, redirecionar as vítimas para um site fraudulento, obter senhas e dados bancários e fraudar os alvos. Os phishers geralmente empregam diferentes truques para fraudar suas vítimas e tentam parecer o mais legítimos possível. Eles podem usar logotipos de empresas, imitar e-mails oficiais e ocultar URLs apenas para fraudar suas vítimas.

Tipos de Phishing

Existem diferentes tipos de phishing: Eu compilei uma lista dos tipos mais comuns de golpes de phishing e como eles ocorrem. Os tipos de phishing são:

•Phishing por e-mail : Este é o tipo mais comum de phishing no qual as vítimas recebem e-mails informando que suas contas pessoais foram comprometidas e é necessária uma resposta imediata. O phishing por e-mail visa criar um senso de urgência e fazer a vítima clicar em um link malicioso que leva a uma página de login falsa. Informações pessoais confidenciais são entregues diretamente aos golpistas.

•Phishing HTTPS : No phishing HTTPS, os hackers podem obter acesso a conversas seguras usando certificados SSL expirados ou removendo a criptografia de sites seguros fazendo o downgrade de sites HTTPS para HTTP. Sites falsos semelhantes a sites organizacionais são então criados, para serem vinculados em e-mails. Os phishers então enviam e-mails falsos usando IDs de organizações para os funcionários, infiltrando-se nas organizações e roubando dados valiosos.

•Spear phishing : Spear phishing é usado para atingir indivíduos, grupos e organizações específicos. Spear phishing geralmente envolve pesquisa sobre o alvo e fontes de informação disponíveis publicamente. O objetivo do spear phishing é obter acesso a uma conta individual ou se passar por funcionários de alto escalão, bem como funcionários que possuem informações confidenciais. Um e-mail incluindo o nome do alvo, classificação e um anexo geralmente é enviado para realizar spear phishing.

• Whaling : Whaling é um tipo de spear phishing que geralmente é direcionado a executivos de alto nível. Os golpistas fingem ser fontes legítimas e incentivam as vítimas a compartilhar informações confidenciais ou transferir grandes quantias de dinheiro. Whaling geralmente ocorre como um e-mail de uma fonte confiável, como um contato da empresa, parceiro, fornecedor ou conta de cliente. O e-mail geralmente inclui dados pessoais ou referências coletadas da Internet para parecer confiável. O e-mail pode incluir links para um site falso que coleta informações ou instala malware. Como alternativa, o e-mail pode incluir solicitações de dados confidenciais, como folha de pagamento, declarações fiscais, números de contas bancárias ou transferência de dinheiro via transferência para uma conta específica. Whaling é feito para roubar dados ou dinheiro de executivos de alto escalão.

• Smishing : Smishing, também conhecido como SMS phishing, é uma forma de phishing na qual as vítimas são enganadas para clicar em um link ou fornecer informações privadas por meio de mensagens de texto. O smishing é feito com o uso de informações básicas do alvo, como nome, idade e localização. Se um link for incluído na mensagem de texto, isso pode levar a um site falso ou malware projetado para comprometer o telefone. O malware pode ser usado para bisbilhotar os dados do telefone dos usuários ou enviar dados confidenciais para um servidor controlado pelo invasor. Smishing vem em diferentes formas: desde mensagens informando que você está com problemas até mensagens mostrando que você ganhou um pacote.

• Vishing : Vishing ou phishing de voz é uma forma de phishing na qual as vítimas são manipuladas para revelar informações pessoais como dados bancários e números de cartão de crédito por meio de chamadas telefônicas e mensagens de voz. Na maioria dos casos, os golpistas fingem ser de organizações respeitáveis, como bancos, departamentos fiscais, polícia ou governo. O vishing é feito usando ameaças e linguagem convincente para fazer as vítimas acreditarem que devem ligar de volta imediatamente ou correr o risco de serem presas e perder contas bancárias.

•Phishing do pescador: o phishing do pescador é um tipo de phishing no qual os golpistas se disfarçam de equipe de suporte ao cliente usando contas e plataformas de mídia social. O phishing do Angler geralmente visa clientes insatisfeitos que reclamam do serviço de uma organização nas mídias sociais. Esses clientes são levados a revelar seus dados quando uma falsa equipe de clientes lhes envia uma mensagem direta. A mensagem solicitará informações pessoais ou um link para um site falso que instala malware ou coleta dados confidenciais do cliente desavisado.

• Clone phishing : o clone phishing usa um e-mail legítimo ou enviado anteriormente que contém links. O clone é semelhante ao e-mail legítimo, mas os links incluídos são links de malware. O e-mail clonado é então enviado como um reenvio do remetente original para as vítimas. Quando as vítimas clicam no link do e-mail clonado, o hacker pode encaminhar o mesmo e-mail para os contatos na caixa de correio da vítima. É o tipo de phishing mais difícil de identificar: o clone phishing tem inúmeras vítimas.

• Evil twin phishing : Evil twin phishing envolve a configuração de um ponto de acesso Wi-Fi que se disfarça como legítimo para obter acesso a informações confidenciais sem o conhecimento da vítima. Os golpistas observam os detalhes de um ponto de acesso Wi-Fi legítimo e criam um ponto de acesso idêntico com o mesmo nome. As vítimas se conectam ao ponto de acesso Wi-Fi e o Wi-Fi gêmeo do mal se torna seu ponto de acesso sem fio. Os hackers podem interceptar dados confidenciais, como informações de login, detalhes bancários ou informações de cartão de crédito.

•Phishing de mídia social: O phishing de mídia social é uma forma de phishing que emprega o uso de plataformas de mídia social como Facebook, LinkedIn, Twitter, Instagram, etc., para enganar as vítimas e fazê-las revelar dados confidenciais. Em algumas ocasiões, esses golpes de phishing ocorrem quando as vítimas recebem mensagens pedindo que paguem por seguidores. Em outras ocasiões, as mensagens podem incluir links maliciosos para uma página de login de mídia social falsa. No login, as credenciais da vítima são salvas para falsificação de identidade e acesso a informações financeiras e pessoais.

• Pharming : muitas vezes descrito como uma combinação das palavras phishing e farm, o pharming é um método fraudulento no qual um código malicioso é instalado em um computador ou servidor com a intenção de direcionar os usuários a sites fraudulentos. O pharming pode ser feito enviando códigos em um e-mail. Esses códigos modificam sites de host locais que convertem URLs no endereço IP que o computador usa para acessar sites. Mesmo que os usuários digitem o endereço da Web correto, eles são direcionados para um site falso, onde suas informações confidenciais são fornecidas a golpistas.

Golpes de phishing: uma visão geral

Os golpes de phishing são bastante populares: de acordo com o relatório Verizon Data Breach de 2021, o phishing está envolvido em 36% das violações. Além disso, este relatório revelou que 95% das perdas de comprometimento de e-mail comercial ficaram entre US$ 250 e US$ 984.855, com a perda média definida em US$ 30.000 para comprometimentos de e-mail comercial. Isso mostra que muitos indivíduos e organizações perderam uma porcentagem significativa de seus fundos em golpes de phishing.

Em 2019, a análise de 55,5 e-mails da Avanan revelou que um em cada noventa e nove e-mails é um e-mail de phishing. É ainda mais preocupante que mais de 70% desses e-mails sejam abertos por seus alvos; entre outubro de 2013 a maio de 2018, os e-mails comerciais comprometidos custaram às empresas US$ 12,5 bilhões.

O phishing, em geral, tem muitos efeitos negativos , especialmente nas empresas. Esses efeitos incluem perda de fundos, perda de dados confidenciais, perda de propriedade intelectual, danos à reputação da marca, perda de produtividade, interrupção das atividades de trabalho e instalação de malware. Além de todos esses efeitos, os clientes podem perder a confiança no negócio e nos produtos que a organização está tentando vender.

Os efeitos de um ataque de phishing podem depender do motivo do golpista: falsificação de identidade, fraude ou até diversão. Se os phishers instalarem malware com sucesso, é provável que extorquem a organização ou o indivíduo. Se os dados bancários ou informações do cartão de crédito forem revelados, os indivíduos podem perder suas economias. O phishing não resulta apenas em perda monetária: pode criar uma sensação de insegurança ao usar computadores, dispositivos móveis e mídias sociais.

Como prevenir ataques de phishing

A prevenção de ataques de phishing envolve um mecanismo de mão dupla: identificar ataques de phishing e tomar medidas ativas para evitá-los. Saber identificar ataques de phishing é o primeiro passo para evitá-los. O ponto principal é ter cuidado: fique atento aos principais sinais de phishing .

Sinais como remetentes de e-mail pela primeira vez, solicitações urgentes de informações pessoais, saudações genéricas, erros de ortografia em mensagens, anexos não solicitados, links estranhos em mensagens e nomes de domínio estranhos são marcadores claros de que algo está errado.

Você deve ignorar todos os e-mails, telefonemas ou mensagens que solicitem suas informações pessoais, como detalhes de contas bancárias, detalhes de cartões e dados da empresa, se você lidar com dados confidenciais em seu local de trabalho.

Prevenir o phishing envolve tomar medidas ativas para evitar que seus dados caiam nas mãos de golpistas. A primeira coisa a fazer é evitar clicar em links suspeitos enviados em seus e-mails e mensagens. Em seguida, você deve instalar navegadores anti-phishing em seus navegadores da web. Além disso, instale um software antivírus em seu computador.

Todos os seus navegadores e software devem ser mantidos atualizados para evitar violações de dados que expõem seus dados a phishers. Use firewalls de proteção em seu computador: um firewall de desktop e um firewall de rede para proteger seu sistema contra hackers. Você também deve se lembrar de não usar sites que não sejam seguros: como regra, atenha-se a sites HTTPS, não HTTP.

No final das contas, mesmo depois de empregar essas táticas, ninguém está totalmente a salvo dos phishers. No entanto, você pode reduzir o risco de se tornar uma vítima.

Como denunciar phishing

Em algumas ocasiões, depois de todas as suas tentativas de se proteger de ser vítima de phishing, os phishers ainda podem quebrar suas defesas. Você não deve se culpar; a solução está em denunciar o phishing. A denúncia de phishing pode ajudar as agências de aplicação da lei a capturar os cibercriminosos, fornecer uma rede de segurança para suas perdas e impedir que outras pessoas se tornem vítimas de phishing.

Nos EUA, o site da Federal Trade Commission descreveu como denunciar um e-mail de phishing. Você deve encaminhar o e-mail de phishing para [email protected] e denunciar o crime à Federal Trade Commission na seção de reclamações. Você também deve entrar em contato com a organização ou indivíduo que foi representado e notificar os clientes e funcionários de sua organização.

A organização US-CERT faz parceria com o Anti-Phishing Working Group (APWG) para coletar mensagens de e-mail de phishing e localizações de sites. Você pode denunciar phishing ao APWG enviando um e-mail para [email protected] .

No Reino Unido, o Centro Nacional de Segurança Cibernética (NCSC) tem o direito de investigar e remover e-mails e sites fraudulentos. Tudo o que você precisa fazer é enviar um e-mail ou capturas de tela para [email protected] . Se você receber uma mensagem de texto de phishing no Reino Unido, encaminhe a mensagem para 7726.

Para organizações como Google e Microsoft , você pode denunciar mensagens de phishing e e-mails em seus sites e aplicativos. Tudo o que você precisa fazer é clicar na mensagem e, em seguida, nos botões Mais e Relatório. Quando você denuncia esses phishers, seus e-mails são bloqueados e outras pessoas ficam protegidas contra ataques de phishing.

No entanto, é melhor prevenir o phishing do que ter que relatar um caso de phishing. Portanto, você deve ficar atento e enviar esse e-mail suspeito para o spam. Agora mesmo!