Como Reconhecer e Evitar Golpes de Phishing - TechRobot

Como Reconhecer e Evitar Golpes de Phishing

Nesta era moderna de globalização, onde mais de dois terços da população mundial têm acesso a mensagens de texto, chamadas móveis e e-mail, os números facilitariam a conclusão de que mais da metade da população do planeta foi exposta a uma tentativa de phishing. A exposição sugerida ocorre porque os ataques de phishing são executados principalmente por meio de uma das mídias mencionadas, sendo os e-mails os mais comuns. O objetivo final de um ataque de phishing é obter as informações pessoais da vítima, sendo os detalhes bancários o pote de ouro. Este artigo vai contar tudo sobre essa ciberameaça e mostrar como reconhecer e evitar ser vítima de phishers.

O Mapa Peculiar dos Golpes de Phishing

O principal objetivo do Phishing é adquirir os detalhes de acesso pessoais às suas contas financeiras. Embora os golpistas tenham evoluído ao longo dos anos com as táticas usadas para enganar indivíduos, existem, no entanto, alguns sinais de alerta que podem tornar possível revelar chamadas, mensagens de texto ou e-mails de phishing pelo que eles são — golpe!

  • Phishing calls, emails, and text messages from seemingly trusted organizations. Have you everreceived an email, supposedly sent by your ‘account officer’ requesting for personal information such as your social security number and other banking details? It would interest you to find that those messages and emails are from phishers posing as the real organizations.  
  • Phishing emails and texts often come with unfounded stories. The trick of such exciting stories is to arouse passion in the victim. A famous phishing attack to which several bank users fell victim requested customers to ‘please’ resend their last login details to update the bank database. This request came after a narration was made about how hackers recently attacked the bank’s data infrastructure.

Uma história mais famosa, e fácil de cair, são aquelas que afirmam que tentativas suspeitas de login foram notadas em sua conta. Posteriormente, aconselha-se aos usuários a redefinir sua senha preenchendo alguns detalhes pessoais, geralmente em um site falso que foi criado ou o próprio site real que foi temporariamente sequestrado.

Geralmente, é assim que os golpistas de phishing coletam de forma ardilosa as informações pessoais das vítimas:

  1. Compram dados da sua subscrição de serviços em linha, por exemplo, números de telemóvel ou endereços de correio eletrónico.
  2. Em seguida, criam o isco sob a forma de e-mails enganadores, textos e sítios Web falsos para convencer os utilizadores de que as mensagens são de organizações que conhecem e em que confiam.
  3. Os burlões enviam as mensagens em massa para os contactos inicialmente adquiridos, por vezes para milhares de utilizadores de uma só vez.
  4. Os phishers utilizam os dados que conseguem recolher dos destinatários ignorantes das mensagens para fazer compras e actos não autorizados utilizando a conta das vítimas.

Tipos Comuns de Phishing e Como Reconhecê-los

O phishing definitivamente não se limita aos exemplos listados abaixo, já que os golpistas estão constantemente mudando suas táticas; no entanto, registros de ataques de phishing amplamente relatados nos ajudam a categorizá-los da seguinte forma:

1. Phishing por SMS envolve o envio de mensagens de texto para usuários de telefones móveis, pedindo-lhes para entrar em contato com um agente de atendimento ao cliente ou visitar uma organização por meio de um link incorporado no texto. Clicar no link leva as vítimas a uma página de login ou caixa de diálogo de texto onde é necessário inserir informações pessoais antes de obter acesso total ao site ou recurso supostamente legítimo. Esse tipo de ataque está em ascensão em parte porque os fabricantes de telefones móveis aderiram à revolução da internet produzindo, na sua maioria, smartphones.

Uma maneira fácil de identificar um ataque de phishing por SMS é que a mensagem geralmente é enviada de números estranhos ou até mesmo vem com textos mal redigidos.

2. Mensagens de phishing por email são enviadas por email para vítimas desavisadas. Os emails geralmente são enviados como cópia oculta (BCC) para múltiplos endereços de email com logo e rodapés roubados da organização ou indivíduo real sendo imitado. Ataques de phishing por email raramente terminam com a mensagem em si; os destinatários da mensagem são frequentemente direcionados a visitar um site popular através de um link de texto ou baixar um anexo de spam incluído no email. Na página de destino do link anexado, as vítimas são solicitadas a preencher informações pessoais. A página da web pode igualmente fazer com que malware seja instalado automaticamente em um computador assim que a página é carregada. O malware de phishing carregado coleta informações pessoais do computador, smartphone ou dispositivo da vítima de várias maneiras:

  • Registo das teclas premidas pelo utilizador durante o preenchimento de formulários
  • Avaliar a cache do utilizador e reencaminhar o seu conteúdo para o agressor remoto

Assim como no phishing por SMS, uma análise detalhada do endereço de email de origem ajudará o destinatário a isolar e denunciar mensagens maliciosas como um ataque de phishing. Por exemplo, um phisher que deseja imitar o Atendimento ao Cliente da Amazon pode usar um endereço como – *[email protected]*. Um email legítimo da Amazon viria com o nome de domínio da empresa, por exemplo, *[email protected]*. Além disso, nenhuma organização adequadamente estruturada solicitará seus detalhes pessoais ou financeiros por email.

3. Spear phishing é um tipo de fraude mais estratégica que também utiliza a brecha dos e-mails. Em relação ao phishing por e-mail, onde os e-mails são enviados para várias pessoas como mensagens de transmissão, o spear phishing é mais direcionado. Funcionários de provedores de serviços online ou agências governamentais que foram marcados por terem acesso a informações pessoais de vários usuários são os alvos prolíficos do spear phishing.

O e-mail é feito para parecer que é de um superior, ou do chefe da empresa, solicitando acesso às informações dos usuários. Em outras instâncias, o e-mail é enviado de fontes claramente desconhecidas, com um título magnético, cativante o suficiente para fazer o destinatário abrir a mensagem. A mensagem geralmente está em branco e vem com um anexo; a curiosidade fará então com que o destinatário abra o anexo e instale ransomware no computador.

As vítimas de ataques de spear phishing podem ser comparadas à cabeça da proverbial Hidra. Os dados coletados durante esses ataques são então utilizados para executar uma violação em larga escala de contas de usuários afiliadas à organização em questão.

4. Clone phishing, como o nome sugere, envolve a vítima recebendo um e-mail com exatamente o mesmo conteúdo que um que foi previamente enviado por uma organização confiável; o golpista, no entanto, inclui um link suspeito para um anexo malicioso ou site falso. A única variação é que o endereço de e-mail de origem é ligeiramente alterado para parecer muito semelhante ao do remetente inicial. Essa tática torna o clone phishing o tipo mais difícil de detectar.

5. Phishing de Baleia é muito semelhante ao Spear phishing. A intenção é obter acesso a informações sensíveis ou pessoais de indivíduos que se inscrevem nos serviços de uma organização. No entanto, os ataques de baleia visam os ‘baleias’ nas organizações – como os executivos de topo e o conselho de administração.

6. Phishing por pop-up é muito semelhante aos pop-ups de anúncios que interrompem sua experiência de usuário enquanto navega por um site monetizado. No entanto, o phishing por pop-up vem como um aviso, não um anúncio; o pop-up alerta o usuário sobre um documento ou aplicativo malicioso não nomeado que infectou o computador. Em seguida, é dada a opção de baixar um antivírus que eliminará a ameaça sem custo. Instalar tal software expõe seu computador ao risco de ser infectado por malware indesejado; a ameaça alegada é na maioria das vezes uma farsa.

Protegendo-se de Se Tornar uma Vítima de Phishing

Nesta era do comércio eletrônico, para evitar tornar-se uma vítima ou ser usado como um canal para revelar dados sensíveis relacionados à sua organização, abaixo estão guias à prova de fogo a seguir.

  • Crie cópias de segurança dos seus dados. É essencial ter uma cópia de segurança dos dados vitais do seu computador ou smartphone num suporte externo. Se for vítima de um ataque de ransomware, a cópia de segurança dos seus documentos está segura, talvez num serviço de armazenamento na nuvem ou num suporte de armazenamento externo que não esteja ligado à sua rede informática.
  • Utilize a autenticação do utilizador em várias fases. Os phishers andam sempre atrás dos detalhes da conta, como o nome de utilizador e a palavra-passe. Em situações em que a segunda fase de autenticação foi estabelecida para as suas contas sensíveis, ter a sua palavra-passe e nome de utilizador torna-se inconsequente. Um excelente exemplo de autenticação em várias fases é o código de confirmação enviado para o seu contacto móvel quando efectua transacções bancárias ou inicia sessão. Uma camada biométrica de autenticação, como a leitura de impressões digitais, dos olhos ou do rosto, é um método seguro de proteção das nossas contas.
  • Atualizar os dispositivos com os últimos patches de segurança. Os principais fabricantes de computadores e smartphones actualizam regularmente os seus sistemas operativos para corrigir erros e lacunas através dos quais os phishers foram identificados para atacar. A atualização destes dispositivos poupará aos utilizadores de tecnologia muitas dores de cabeça em termos de segurança.
  • Evite abrir mensagens suspeitas e tenha em atenção todas as falhas mencionadas, próprias dos ataques de phishing. Verifique cuidadosamente o conteúdo das mensagens de correio eletrónico antes de clicar em ligações, abrir anexos ou preencher formulários. Se for obrigado a confirmar a integridade de qualquer alegação numa mensagem de correio eletrónico, visite diretamente o sítio Web da empresa, em vez de passar por uma ligação fornecida.

Conclusão

À medida que a presença online de várias organizações e usuários individuais cresce, há uma maior tendência de que o phishing aumente em escala e impacto. Mas com precauções proativas, conforme sugerido neste artigo, os usuários da internet devem conseguir superar os phishers.