Phishing: o que é, como funciona, os tipos e como se proteger

Imagem de um cartão de crédito sendo fisgado por um anzol de pesca, representando a prática da tentativa de phishing. 

Gestores da área de TI, ainda que saibam o que é phishing e os perigos que ele traz para a empresa, sofrem com este golpe. 

O foco do crime cibernético é a vulnerabilidade humana, e grande parte dos incidentes de segurança da informação vêm exatamente de falhas de pessoas.

Basta um colaborador mais desatento para que “a porta seja aberta com chave ao invés de ser arrombada”.

Diante da necessidade de manter os dados empresariais protegidos, é importante conhecer melhor sobre o golpe de phishing, o que é, como funciona e muito mais.

Vem com a gente!

Saiba como proteger os dados da sua empresa com nosso infográfico!

Leia também:

Phishing: o que é, afinal?

Phishing é o tipo mais simples de crime cibernético no qual o criminoso (“phisher”) “fisga” a vítima para que ela compartilhe informações confidenciais, como número de cartões de crédito ou senhas. 

A tática mais comum utilizada para enganar as pessoas é via e-mail ou mensagem de texto. O criminoso imita uma pessoa de credibilidade, física ou jurídica, como as instituições financeiras. 

Ao abrir o texto ou e-mail, a vítima encontra uma mensagem que desperta seu senso de urgência. É o caso de pagamento de dívida o quanto antes ou de redefinição de uma senha em risco. 

Com isso, ela clica no comando para acessar um site que imita o site legítimo, onde ela faz o login. Neste momento, as informações são enviadas aos criminosos, que as utilizam para fins ilícitos.

Entendeu o que é phishing? Se sim, tenha clareza de que não é a mesma coisa do que spam.

Spam e phishing são as mesmas coisas?

Não. Spam é apenas lixo eletrônico, aqueles anúncios indesejados que não têm como finalidade prejudicar o destinatário.

Na tentativa de phishing, os criminosos querem roubar dados e utilizá-los contra você ou sua empresa. 

Vamos ver então como funciona este tipo de crime cibernético!

Como funciona o ataque phishing?

Homem olhando preocupado para a tela do notebook. Saber como funciona o ataque phishing é importante para evitar cair em golpes dos criminosos.

Um ataque de phishing tem três elementos específicos:

  • É feito por meio de comunicações eletrônicas;
  • O criminoso se passa por uma pessoa física ou jurídica de confiança;
  • O objetivo do golpe é obter informações pessoais ou empresariais confidenciais.

Por isso, antes de aprender como resolver phishing, entenda que seu mecanismo de funcionamento é o mesmo: o golpista tenta induzir a vítima a baixar um anexo ou clicar em um link para que envie dados sigilosos.

Quanto maior a habilidade do phisher, mais prejuízo ele pode trazer para sua empresa.

Como o phishing pode prejudicar sua empresa?

Os efeitos negativos deste tipo de ataque cibernético não se resumem aos danos financeiros.

O cerne do golpe é se passar por uma pessoa ou instituição de confiança da vítima. É comum nos depararmos com hackers que criam perfis falsos em redes sociais para construir um relacionamento com os potenciais alvos. 

Quando a tentativa é exitosa, a vítima pode simplesmente perder a confiança em sua empresa. Afinal, como ela confiará na organização que perdeu seus dados?

Por isso, o ataque vai muito além do roubo de dinheiro, identidade e outros dados. 

Mais um motivo para conhecer mais sobre phishing, o que é e quais os tipos desse ataque.

Quais os diferentes tipos de phishing?

Imagem de um símbolo arroba sendo fisgado por um anzol, simbolizando um golpe de phishing na internet.

Você já aprendeu que o centro da questão é um criminoso que utiliza um falso pretexto para adquirir dados ou recursos financeiros.

E quais são os tipos de phishing? Confira:

Por email 

O método mais comum deste golpe é o e-mail, que servirá de isca para o ataque. 

Em geral, a mensagem escrita aos destinatários contém anexos com malware ou links que levam a sites maliciosos, feitos para roubar dados.

Sites

O ataque também pode ocorrer por meio de sites falsificados que imitam páginas reais confiáveis. 

Imagine que você é correntista do Banco Beta, o maior do país. É uma instituição financeira séria e confiável. Mas os hackers imitam o site com precisão e você insere seus dados de login acreditando que é o site oficial. 

Com essas informações, eles conseguem fazer login na sua conta real. 

Esse tipo de golpe também pode ser induzido por pop-ups, uma fonte comum nos sites.

Vishing

Vishing é a versão em áudio, o phishing de voz. Na prática, o criminoso tentará obter seus dados por telefone, com o fim de roubar sua identidade. 

Fique atento com as chamadas automatizadas, que são exemplos de tentativa de phishing.

Smishing

Smishing é o golpe realizado via SMS. E o que é uma mensagem phishing? Assim como no e-mail, o destinatário recebe uma mensagem que o induz a baixar um aplicativo ou clicar em um link. 

Resultado: um malware é instalado no telefone e poderá roubar as informações pessoais e enviá-las ao criminoso.

Phishing nas redes sociais

Você sabe o que é phishing no Instagram? E no LinkedIn? As redes sociais são locais com inúmeras informações pessoais, e eles ficam à disposição de milhões de pessoas ao redor do mundo.

Diante disso, os phishers adaptaram seus ataques para as redes sociais, considerando os desejos e as necessidades de suas vítimas. Afinal, eles conseguem acessar seu estilo de vida e suas informações de trabalho facilmente. 

E como se dá os ataques via redes sociais? Os invasores podem criar perfis falsos exclusivos para praticar o crime, por exemplo.

Outra forma de ataque nas redes é acessar a conta do usuário e o forçar a enviar links maliciosos para os amigos. 

Diante de tantas possibilidades, é importante conhecer as estratégias utilizadas pelos hackers. É a melhor forma de se proteger dos ataques.

Quais as estratégias de ataque phishing mais comuns?

Homem encapuzado de preto frente a dois monitores, programando algo, simulando estar fazendo uma tentativa de phishing.

A variedade de golpes de phishing é imensa e pode envolver técnicas simples ou sofisticadas. O fato é que muitas delas funcionam no Brasil.

De acordo com dados da Statista de 2022, o país está no topo da lista de usuários que mais foram alvos de ataques de phishing (12,39%).

Com essa realidade, você acredita ser suficiente saber quais são os tipos de phishing? De fato, não é. O fundamental é conhecer algumas estratégias para saber como combatê-las em seu programa de segurança.

Confira algumas a seguir:

  • Whaling: ataque focado em um indivíduo de “alto valor”, como os executivos seniores.
  • Phishing enganoso: os criminosos se disfarçam de pessoas físicas ou jurídicas legítimas para ganhar a confiança da vítima. 
  • Scripting entre sites: acontece quando os hackers exploram vulnerabilidades nos scripts de um site para roubá-lo para seus próprios fins. 
  • Spear phishing: são “campanhas” personalizadas para indivíduos específicos, algo muito comum no ambiente corporativo para roubo de dados sigilosos.
  • Clone phishing: é a substituição dos links comuns de um e-mail legítimo por links maliciosos. Vale pontuar que todos os destinatários anteriores e a mensagem do e-mail são integralmente copiados. 
  • Fraude de CEO: os criminosos se passam por um CEO de uma empresa ou executivo de alto escalão para extrair dados privilegiados de colaboradores. É comum estar associado aos golpes de whaling.
  • Manipulação de links: ao clicar em um link que parece estar ligado a um site, o usuário cai em outro. É também chamado de ataques homográficos, pois trabalham com erros ortográficos propositais, como trocar letra maiúscula por minúscula.
  • Pharming: é o uso de truques tecnológicos que substituem a “isca”, ou seja, a necessidade de a vítima atuar. O envenenamento de cache DNS é um bom exemplo de técnica de pharming, pois direciona a vítima automaticamente do site legítimo para o site falsificado.

A partir das estratégias e dos tipos de golpe deste crime cibernético, vamos citar alguns exemplos de phishing por e-mail.

Exemplos de phishing por e-mail

O e-mail, como pontuamos, é o meio mais utilizado pelos hackers para executar o golpe. E existem três exemplos de phishing muito comuns relativos a ele: alerta de banco, mensagem do governo e problemas com pagamento.

Alerta de banco

Uma das práticas mais comuns dos golpistas é tentar convencer as potenciais vítimas sobre a confirmação dos dados da conta bancária.

Isso acontece porque muitas instituições financeiras emitem alertas frequentes sobre detecção de atividades suspeitas ou uso do cheque especial. Os criminosos se aproveitam exatamente dessa conduta.

Governo entrando em contato

Usuários que respeitam e acreditam nas solicitações de figuras de autoridade, como representantes do governo, estão mais propensos a caírem nesse golpe via e-mail. 

A mensagem pode, por exemplo, dizer que o usuário pagará uma multa se não fornecer dados pessoais solicitados. 

Por outro lado, pode oferecer um benefício, como o reembolso de tributo, caso o usuário confirme seus dados financeiros.

Problemas com pagamento/fatura

Por fim, outro tipo comum de ataque por e-mail é a falta de pagamento de determinado produto ou serviço. 

O destinatário é informado que houve um problema com o pagamento da fatura e que ele deve informar seus dados financeiros na página de destino.

Onde vão parar os dados roubados?

O relatório “Dox, roubo, revelação. Onde seus dados pessoais vão parar?“ aponta que os dados roubados são vendidos majoritariamente na dark web.

Existem informações mais baratas, como número da carteira de identidade, e outros mais caros, como prontuários médicos e contas de bancos digitais.  

Para evitar esses ataques, é possível adotar algumas práticas em sua empresa e, claro, educar os demais profissionais.

Como evitar cair em phishing?

Mulher desbloqueando o celular com uma senha. Proteger seus dados e ter cuidado com o seu aparelho é importante para evitar qualquer tentativa de ataque phishing.

A primeira medida de defesa contra um ataque de phishing é a desconfiança. Existem sinais que o usuário pode analisar para praticar uma computação mais segura.

A nível gerencial, a atitude anti phishing começa por ter um sistema de proteção.

Tenha um sistema de proteção 

Um bom plano de segurança de informação apresenta uma série de recursos que impedem ou ao menos dificultam os ataques cibernéticos.

Para evitar cair em phishing, é fundamental ter um software de segurança anti-malware, um bom antivírus corporativo e um firewall eficiente. E não só isso: um sistema de tecnologia de proteção de internet é imprescindível.

São ferramentas de segurança cibernética que conseguem detectar um link ou um anexo malicioso, por exemplo.

Cuidado com links 

Outra prática anti phishing é ter grande cuidado com os links recebidos. Confira três dicas: 

  • Não abra links de remetentes desconhecidos;
  • Passe o mouse (sem clicar) sobre o link da mensagem para conferir se o link é legítimo;
  • Em caso de dúvidas, insira o link do site manualmente em seu navegador para verificar se é confiável.

Observe a ortografia de emails, mensagens, etc.

Como apontamos, os criminosos podem utilizar sites falsificados para realizar os ataques. Essas páginas podem, inclusive, ter endereços quase iguais aos originais.

Por isso, fique atento aos erros de digitação (“typosquatting”) e desconfie de um texto mal escrito, com erros de ortografia e gramática. É incomum que instituições confiáveis cometam esse tipo de falha.

Não dê informações pessoais

Considerando que os criminosos desejam seus dados, nunca repasse suas informações pessoais. É muito raro vermos empresas sérias solicitando dados desta natureza por e-mail ou telefone.

Na dúvida, inicie uma nova comunicação pelos canais oficiais. E se você achar que o site é oficial, lembre-se de verificar se a URL da página começa com “HTTPS” .

Atenção às imagens 

Na imitação dos sites oficiais, os cibercriminosos utilizam cores, logotipos e slogan das marcas de pessoas jurídicas. A ideia é dar mais veracidade ao e-mail. Porém, desconfie dessas imagens. 

E para completar suas medidas anti phishing, veja como o sistema de proteção da Algar Telecom pode contribuir para seus planos de segurança.

Conheça o sistema de proteção da Algar Telecom

A busca por soluções de segurança em TI é uma constante no dia a dia do gestor. Afinal, manter-se adequado à LGPD e proteger os dados é uma prioridade para qualquer negócio próspero.

Sabendo disso, a Algar Telecom desenvolveu o Proteção Web, uma solução para banda larga que possibilita ao gestor saber como a equipe utiliza a internet corporativa, ao mesmo tempo em que protege a rede contra ataques cibernéticos.

Confira um breve resumo da solução

 

Quer ter visibilidade dos sites mais acessados para melhorar a gestão desses acessos e ter mais eficiência? Quer proteger sua navegação contra conteúdos maliciosos? Quer manter sua empresa adequada à LGPD? 

Com a Algar Telecom você consegue tudo isso.

Confira nosso infográfico sobre proteção web e saiba como evitar ataques de hackers!

Perguntas frequentes sobre phishing:

O que é e como evitar o phishing? Como resolver phishing? Essas são questões comuns sobre o assunto, mas há outras perguntas importantes para serem respondidas.

Quais riscos você corre com o phishing?

O phishing é capaz de prejudicar pessoas físicas e jurídicas, pois envolve o roubo de dados pessoais e corporativos, mas também a perda de confiança e de recursos financeiros.

Como se proteger do phishing?

A proteção contra o phishing envolve adotar boas práticas de segurança da informação, relacionadas a links, anexos e imagens, por exemplo, além de ter um bom sistema de proteção.

Conclusão

O phishing é um tipo de ataque cibernético comum, pois envolve basicamente a vulnerabilidade humana. Seja por e-mail, redes sociais e outros meios, é um golpe com muitas estratégias possíveis.

Para se proteger delas, o gestor deve ter um bom sistema de proteção e recursos importantes de TI. Assim, consegue evitar ataques e outros incidentes de segurança.

Avalie este post