De acordo com o Panorama de Ameaças para a América Latina 2024, o Brasil ocupa a segunda posição em ataque cibernético. Conforme cita esta matéria, em um período de 12 meses foram registrados mais de 700 milhões de ataques no país. Para você ter uma ideia do que isso significa, o número equivale a 1.379 ataques por minuto.
Dentre os mais utilizados pelos cibercriminosos para enganar suas vítimas está o phishing, que visa roubar informações sensíveis, como dados bancários, senhas e dados pessoais. A fim de evitar que o seu negócio seja pego de surpresa, é fundamental aprender como protegê-lo dessa ameaça virtual. Entenda mais a seguir.
O que é Phishing?
O phishing é uma modalidade de fraude em que os criminosos entram em contato com uma pessoa ou empresa para roubar dados pessoais e/ou financeiros. Eles fazem isso de forma genuína para que a vítima seja induzida a passar informações – como os dados do cartão de crédito, senhas e credenciais de acesso – ou a executar alguma ação – como realizar um Pix.
Os ataques de phishing podem resultar em perdas financeiras, danos à reputação e até mesmo ter implicações legais (especialmente por conta da Lei Geral de Proteção de Dados Pessoais – LGPD).
Como funciona o Phishing?
Para entender o que é e como funciona o phishing, saiba que o termo vem de outra palavra de língua inglesa: “fishing”, que significa “pescando”.
Do mesmo modo que acontece durante uma pesca, nesse tipo de ataque o criminoso lança uma isca para atrair a atenção da vítima. É o caso de quando alguém recebe um e-mail com o título “Seu pagamento está em atraso”. Ao abri-lo, existe um link que deve ser clicado para a pessoa realizar o suposto pagamento e normalizar a situação.
Tipos de Phishing: conheça os principais
As técnicas para “pescar” informações e dados evoluem cada vez mais rapidamente. Abaixo, elencamos os principais tipos de phishing:
- Spear Phishing
- Clone Phishing
- Pharming
- Scam
- Whaling
- Vishing
- Smishing
- Blind Phishing
Abaixo explicamos melhor sobre cada tipo:
Spear Phishing
No spear phishing o alvo é um grupo específico. Tal como em um ataque de phishing, o destinatário é confiável ou familiar (como um banco no qual você tem conta ou um fornecedor).
O objetivo é acessar informações confidenciais, como senhas de login e arquivos sigilosos, ou infectar o dispositivo do alvo com malware.
Clone Phishing
Este tipo de phishing faz referência à clonagem de um site. Normalmente, a pessoa é primeiro direcionada para uma página falsa, insere suas informações e, então, é enviada para o site original.
O problema é que no momento em que transmite seus dados, os mesmos são roubados pelos criminosos.
Pharming
O termo “pharming” é uma combinação das palavras “phishing” e “farming” (cultivo, em português). O objetivo é manipular o tráfego de um site, direcionando as pessoas para um site falso.
Ao fazer isso, o criminoso consegue captar as informações identificáveis da vítima (PII) e suas credenciais de login, como senhas, número da identidade e dados bancários.
Scam
Scam é uma palavra de língua inglesa que significa golpe. Portanto, ataques de phishing scam nada mais são do que tentativas de induzir uma pessoa a fornecer informações confidenciais, como números de cartão de crédito, senhas, PINs ou outros dados sigilosos.
O golpista pode entrar em contato via e-mail, mensagem de texto, redes sociais ou telefone.
Whaling
Whaling vem da palavra “whale”, cuja tradução em português é “baleia”. Desse modo, refere-se ao “tamanho do peixe” a ser pescado.
Isso porque neste tipo de phishing os alvos são executivos de alto escalão, como o presidente de uma empresa, diretores, CEOs, CFOs, CTOs e outros. A fim de chamar a atenção desse grupo, os ataques costumam ser disfarçados de intimações judiciais ou notificações internas.
Vishing
Vishing é um tipo de ataque de phishing conduzido por voz, isto é, por telefone ou sistemas VoIP. Nesse caso, os golpistas se fazem passar por organizações legítimas a fim de induzir a vítima a fornecer informações confidenciais.
Smishing
Quando o phishing é realizado por SMS recebe o nome de smishing (conhecido também por SMS phishing).
Assim como vemos nos ataques que utilizam o e-mail, as mensagens de smishing geralmente contêm conteúdo urgente, como contas bancárias comprometidas, notificações de entrega de alguma encomenda ou situação irregular.
Blind Phishing
“Blind” é outro termo de língua inglesa e significa “cego”. Dos tipos de phishing, este é o mais comum de ataque. Também conhecido por e-mail phishing, no blind phishing os criminosos disparam e-mails em massa, sem uma estratégia definida, com o intuito de atrair alguma vítima.
Primeiros sinais: saiba identificar um possível ataque
É importante que sua empresa e seus clientes saibam se proteger de um ataque de phishing. Para isso, o primeiro passo é saber como identificar um golpe.
Sabe o ditado que diz que “quando a esmola é demais, o santo desconfia”? Provavelmente, ofertas muito generosas, como “sua restituição de Imposto de Renda é de R$ XX mil reais” ou “você ganhou tal valor em um sorteio” são as famosas iscas.
Outro alerta comum é a ameaça de perda de serviços. Nesses casos, a vítima recebe uma mensagem urgente solicitando a confirmação de dados ou ações como clicar em links para evitar a suspensão de algum serviço.
Há ainda os casos nos quais o criminoso se faz passar por uma instituição financeira e deseja confirmar uma transação. Nesse tipo de golpe, a pessoa fica com medo de ter tido seu cartão de crédito clonado ou que alguém esteja enviando Pix no seu nome.
Envio de mensagens de remetentes desconhecidos também devem ser vistos com muita cautela.
Afinal, como evitar o Phishing?
Para se proteger dos ataques de phishing, considere instalar um software de firewall. A função dele é verificar o tráfego de entrada, atuando, assim, como uma barreira de acesso ao site da empresa.
Busque também conscientizar seus funcionários e clientes sobre segurança cibernética. É fundamental deixar claro especialmente ao seu público que, sempre que tiverem alguma dúvida, devem entrar em contato pelos canais oficiais. Instrua todos a:
- Tenha cuidado com e-mails não solicitados contendo anexos ou direcionando para baixar documentos ou arquivos de sites/remetentes desconhecidos.
- Ignorar e-mails que pareçam vir de uma instituição financeira solicitando informações confidenciais.
- Ignorar e-mails ou mensagens com ofertas boas demais para ser verdade ou exigindo ações urgentes.
- Em caso de dúvida, nunca use os dados de contato fornecidos no e-mail/mensagem suspeitos.
Adicionalmente a esses pontos, siga estas dicas:
Confira a URL
Ao acessar um site, seja de uma loja, de um banco ou até mesmo de um órgão do governo, por meio de uma mensagem recebida por e-mail ou SMS, verifique a URL na barra de endereço do navegador.
Veja se os endereços apresentam hifens, pontos fora do lugar, letras trocadas, entre outras alterações que são usadas justamente para confundir. Se tiver dúvidas, faça uma busca no Google.
Quando um site é seguro, ele também apresenta a seguinte configuração: “HTTPS”. Esse “S”, sugere a autenticidade do endereço eletrônico. Portanto, uma conexão em HTTP é insegura. O HTTPS (Hyper Text Transfer Protocol Secure) insere uma camada de proteção na transmissão de dados entre seu computador e o servidor. Em sites com endereço HTTPS, a comunicação é criptografada, aumentando significativamente a segurança dos dados.
Pesquise antes de fazer compras online
Quando for buscar um novo fornecedor ou prestador de serviço, pesquise pela empresa e certifique-se de que é confiável, especialmente ao receber ofertas por e-mail.
É importante também conferir avaliações de outros clientes que já tenham feito negócio com a empresa. Procure em redes sociais, no Google e em sites como o Reclame Aqui para verificar a idoneidade da empresa.
Procure informações de contato
Outra forma de conferir a idoneidade da empresa é buscando informações de contato. Se tiver dificuldade de encontrar um número de telefone, por exemplo, desconfie.
Verifique também endereço, e-mail, chat e perfis nas redes sociais. Quanto mais informações encontrar, mais chances de ser uma empresa honesta.
Confira se a empresa tem certificação digital
Certificações digitais, como SSL, evitam fraudes na internet. Para conferir se um site é seguro, é importante que ele conte com os selos de segurança e certificações digitais para garantir a proteção dos dados dos clientes.
Essa informação pode ser verificada na parte de baixo da página inicial ou também é possível conferir pelo HTTPS. Tudo isso indica que a comunicação é criptografada, evitando o phishing em empresas.
Não salve informações no navegador
Não mantenha salvas as informações de login e senha no navegador, especialmente se o dispositivo for compartilhado – prática comum em empresas. Sempre faça logout de contas no internet banking, em vez de apenas fechar a aba do navegador.
Lembre-se de que o dispositivo pode ser furtado ou roubado e manter as informações gravadas no navegador pode facilitar para que criminosos tomem posse dos seus dados.
Garanta a segurança da máquina
Mantenha os softwares e o sistema operacional do dispositivo atualizados, seja no celular ou no computador da sua empresa. Use também antivírus de marcas conhecidas, mantendo-os sempre atualizados e com extensões de firewall e bloqueio de phishing e malware instalados.
Além disso, não utilize redes WiFi públicas, principalmente se forem abertas. Sempre que possível, opte pelas redes móveis, que são mais seguras.
Aproveite e leia também:
Confira alguns exemplos de Phishing
Um exemplo comum de phishing são os e-mails ou SMSs que parecem ser de um banco ou instituição financeira, solicitando a confirmação de informações pessoais, como senhas ou números de cartão, através de um link falso. Muitas vezes, os golpistas também enviam e-mail ou mensagem dizendo que a conta da vítima foi acessada de forma suspeita e que a pessoa necessita “confirmar sua identidade” ou “bloquear transações fraudulentas”.
Para isso, ela deve clicar em um link que leva a uma página falsa, onde suas informações pessoais são roubadas.
Outro tipo de ataque phishing comum ocorre quando os cibercriminosos investigam a pessoa nas redes sociais e enviam mensagens personalizadas, fingindo ser um amigo ou colega de trabalho. Eles pedem para que o usuário clique em links maliciosos ou forneça informações privadas.
Registro de ataques de Phishing: importância de denunciar
Qualquer tipo de phishing deve ser denunciado, pois ajuda a prevenir que mais pessoas sejam vítimas desses golpes. Além de contribuir para a identificação de criminosos, a denúncia é uma maneira de fortalecer as medidas de segurança cibernética em organizações e instituições financeiras.
Falando nisso, as instituições bancárias possuem canais dedicados para reportar tentativas de fraude ou phishing. Se for o caso consulte o site ou aplicativo do banco.
Em muitas situações, as autoridades competentes, como delegacias de crimes cibernéticos, podem ser acionadas para investigar a origem do ataque. Isso pode envolver o rastreamento de IPs, a identificação do criminoso por meio de dados digitais ou a remoção de sites fraudulentos.
Já para denunciar páginas de phishing, o Google oferece um canal de segurança dedicado, onde é possível reportar sites fraudulentos diretamente. Clique aqui para acessar o site e fazer a denúncia.
Como acontece a reversão de danos em caso de ataque Phishing?
Após um ataque de phishing, sua empresa ou seus clientes precisam tomar algumas medidas para proteger as informações. Tudo vai depender da natureza do ataque, mas geralmente há algumas etapas padrão para mitigar o impacto.
Uma delas é alterar todas as senhas envolvidas no ataque, incluindo contas de e-mail, redes sociais e serviços bancários. Para aumentar a segurança, considere ativar a autenticação de dois fatores (2FA). Outra ação é bloquear as contas e os cartões associados ao ataque, impedindo que transações fraudulentas sejam concluídas.
Também é importante proteger-se contra futuros golpes. Para dicas do que fazer, não deixe de ler:
Além dessas etapas, caso o ataque tenha resultado em perda de dinheiro, entre em contato com a instituição financeira para tentar reverter o dano solicitando o estorno de valores.
Conclusão
Como diz o ditado “o seguro morreu de velho”. Neste artigo, chamamos a sua atenção para os ataques de phishing, mas vale lembrar que existem outros cuidados a serem tomados.
Com isso em mente, olhando para o financeiro, além de elaborar políticas de segurança e ter controles pré-estabelecidos, busque analisar os processos da sua organização, fazendo uma validação constante para garantir que as operações estão sendo realizadas corretamente.
Além do mais, é essencial estar de acordo com as leis e os regulamentos do seu setor. Para isso, desenvolva um programa de compliance. Como criar um não é a mais simples das tarefas, elaboramos um manual com os principais passos que precisam ser dados. Clique na imagem e baixe-o gratuitamente:
