Os ataques de phishing são cada vez mais comuns no Brasil. De acordo com um levantamento feito pela Kaspersky, nosso país lidera o ranking, com mais de 76 mil tentativas de fraudes pelo WhatsApp em um ano.
Mas não é apenas pelo aplicativo de mensagens instantâneas que os hackers atuam.
Partindo do tradicional phishing por e-mail até métodos como o vishing e smishing, o escopo dos ataques segue em expansão.
Para evitar que o seu negócio seja pego de surpresa, é fundamental aprender como protegê-lo dessa ameaça virtual. Entenda mais a seguir.
O que é Phishing?
O phishing é uma modalidade de fraude em que os criminosos entram em contato com uma pessoa ou empresa para roubar dados pessoais e/ou financeiros. Eles fazem isso de forma genuína para que a vítima seja induzida a passar informações – como os dados do cartão de crédito, senhas e credenciais de acesso – ou a executar alguma ação – como realizar um Pix.
Os ataques de phishing podem resultar em perdas financeiras, danos à reputação e até mesmo ter implicações legais (especialmente por conta da Lei Geral de Proteção de Dados Pessoais – LGPD).
Phishing: significado
Para entender o que é e como funciona o phishing, saiba que o termo vem de outra palavra de língua inglesa: “fishing”, que significa pescar.
Do mesmo modo que acontece durante uma pesca, nesse tipo de ataque o criminoso lança uma isca para atrair a atenção da vítima. É o caso de quando alguém recebe um e-mail com o título “Seu pagamento está em atraso”. Ao abri-lo, existe um link que deve ser clicado para a pessoa realizar o suposto pagamento e normalizar a situação.
Saiba quais são os principais tipos de Phishing
As técnicas para “pescar” informações e dados evoluem cada vez mais rapidamente. Abaixo, elencamos os principais tipos de phishing:
Scam
Scam é uma palavra de língua inglesa que significa golpe. Portanto, ataques de phishing scam nada mais são do que tentativas de induzir uma pessoa a fornecer informações confidenciais, como números de cartão de crédito, senhas, PINs ou outros dados sigilosos.
O golpista pode entrar em contato via e-mail, mensagem de texto, redes sociais ou telefone.
Whaling
Whaling vem da palavra “whale”, cuja tradução em português é “baleia”. Desse modo, faz referência ao “tamanho do peixe” a ser pescado.
Para explicar melhor, note que neste tipo de phishing os alvos são executivos de alto escalão, como o presidente de uma empresa, diretores, CEOs, CFOs, CTOs e outros. A fim de chamar a atenção desse grupo, os ataques costumam ser disfarçados de intimações judiciais ou notificações internas.
Spear Phishing
No spear phishing o alvo é um grupo específico. Tal como em um ataque de phishing, o destinatário é confiável ou familiar (como um banco no qual você tem conta ou um fornecedor).
O objetivo é acessar informações confidenciais, como senhas de login e arquivos sigilosos, ou infectar o dispositivo do alvo com malware.
Vishing
Vishing é um tipo de ataque de phishing conduzido por voz, isto é, por telefone ou sistemas VoIP. Nesse caso, os golpistas se fazem passar por organizações legítimas a fim de induzir a vítima a fornecer informações confidenciais.
Smishing
Quando o phishing é realizado por SMS recebe o nome de smishing (conhecido também por SMS phishing).
Assim como vemos nos ataques que utilizam o e-mail, as mensagens de smishing geralmente contêm conteúdo urgente, como contas bancárias comprometidas, notificações de entrega de alguma encomenda ou situação irregular.
Clone Phishing
Faz referência à clonagem de um site. Normalmente, a pessoa é primeiro direcionada para uma página falsa, insere suas informações e, então, é enviada para o site original.
O problema é que no momento em que transmite seus dados, os mesmos são roubados pelos criminosos.
Blind Phishing
“Blind” é outro termo de língua inglesa e significa “cego”. Trata-se do tipo mais comum de ataque. Também conhecido por e-mail phishing, no blind phishing os criminosos disparam e-mails em massa, sem uma estratégia definida, com o intuito de atrair alguma vítima.
Pharming
O termo “pharming” é uma combinação das palavras “phishing” e “farming” (cultivo, em português). O objetivo é manipular o tráfego de um site, direcionando as pessoas para um site falso.
Ao fazer isso, o criminoso consegue captar as informações identificáveis da vítima (PII) e suas credenciais de login, como senhas, número da identidade e dados bancários.
Entenda como identificar um Phishing
É importante que sua empresa e seus clientes saibam se proteger de um ataque de phishing. Para isso, o primeiro passo é saber como identificar um golpe.
Sabe o ditado que diz que “quando a esmola é demais, o santo desconfia”? Provavelmente, ofertas muito generosas, como “sua restituição de Imposto de Renda é de R$ XX mil reais” ou “você ganhou tal valor em um sorteio” são as famosas iscas.
Um outro golpe muito comum é quando há uma ameaça. É o que acontece quando a vítima recebe um contato via e-mail, mensagem ou telefone para confirmar seus dados ou realizar alguma ação (como clicar em um link) a fim de não ter algum serviço suspenso.
Há ainda os casos nos quais o criminoso se faz passar por uma instituição financeira e deseja confirmar uma transação. Nesse tipo de golpe, a pessoa fica com medo de ter tido seu cartão de crédito clonado ou que alguém esteja enviando Pix no seu nome.
Envio de mensagens de remetentes desconhecidos também devem ser vistos com muita cautela.
Mas e como se proteger de Phishing?
Para se proteger dos ataques de phishing, considere instalar um software de firewall. A função dele é verificar o tráfego de entrada, atuando, assim, como uma barreira de acesso ao site da empresa.
Busque também conscientizar seus funcionários e clientes sobre segurança cibernética. É fundamental deixar claro especialmente ao seu público que, sempre que tiverem alguma dúvida, devem entrar em contato pelos canais oficiais. Instrua todos a:
- Tenha cuidado com e-mails não solicitados contendo anexos ou direcionando para baixar documentos ou arquivos de sites/remetentes desconhecidos.
- Ignorar e-mails que pareçam vir de uma instituição financeira solicitando informações confidenciais.
- Ignorar e-mails ou mensagens com ofertas boas demais para ser verdade ou exigindo ações urgentes.
- Em caso de dúvida, nunca use os dados de contato fornecidos no e-mail/mensagem suspeitos.
Adicionalmente a esses pontos, siga estas dicas:
Confira a URL
Ao acessar um site, seja de uma loja, de um banco ou até mesmo de um órgão do governo, por meio de uma mensagem recebida por e-mail ou SMS, verifique a URL na barra de endereço do navegador.
Veja se os endereços apresentam hífens, pontos fora do lugar, letras trocadas, entre outras alterações que são usadas justamente para confundir. Se tiver dúvidas, faça uma busca no Google.
Quando um site é seguro, ele também apresenta a seguinte configuração: “HTTPS”. Esse “S”, sugere a autenticidade do endereço eletrônico. Portanto, uma conexão em HTTP é insegura. O HTTPS (Hyper Text Transfer Protocol Secure) insere uma camada de proteção na transmissão de dados entre seu computador e o servidor. Em sites com endereço HTTPS, a comunicação é criptografada, aumentando significativamente a segurança dos dados.
Pesquise antes de fazer compras online
Quando for buscar um novo fornecedor ou prestador de serviço, pesquise pela empresa e certifique-se de que é confiável, especialmente ao receber ofertas por e-mail.
É importante também conferir avaliações de outros clientes que já tenham feito negócio com a empresa. Procure em redes sociais, no Google e em sites como o Reclame Aqui para verificar a idoneidade da empresa.
Procure informações de contato
Outra forma de conferir a idoneidade da empresa é buscando informações de contato. Se tiver dificuldade de encontrar um número de telefone, por exemplo, desconfie.
Verifique também endereço, e-mail, chat e perfis nas redes sociais. Quanto mais informações encontrar, mais chances de ser uma empresa honesta.
Confira se a empresa tem certificação digital
Certificações digitais, como SSL, evitam fraudes na internet. Para conferir se um site é seguro, é importante que ele conte com os selos de segurança e certificações digitais para garantir a proteção dos dados dos clientes.
Essa informação pode ser verificada na parte de baixo da página inicial ou também é possível conferir pelo HTTPS. Tudo isso indica que a comunicação é criptografada, evitando o phishing em empresas.
Não salve informações no navegador
Não mantenha salvas as informações de login e senha no navegador, especialmente se o dispositivo for compartilhado – prática comum em empresas. Sempre faça logout de contas no internet banking, em vez de apenas fechar a aba do navegador.
Lembre-se de que o dispositivo pode ser furtado ou roubado e manter as informações gravadas no navegador pode facilitar para que criminosos tomem posse dos seus dados.
Garanta a segurança da máquina
Mantenha os softwares e o sistema operacional do dispositivo atualizados, seja no celular ou no computador da sua empresa.Use também antivírus de marcas conhecidas, mantendo-os sempre atualizados e com extensões de firewall e bloqueio de phishing e malware instalados.
Além disso, não utilize redes WiFi públicas, principalmente se forem abertas. Sempre que possível, opte pelas redes móveis, que são mais seguras.
Aproveite e leia também:
Conclusão
Como diz o ditado “o seguro morreu de velho”. Neste artigo, chamamos a sua atenção para os ataques de phishing, mas vale lembrar que existem outros cuidados a serem tomados.
Com isso em mente, olhando para o financeiro, além de elaborar políticas de segurança e ter controles pré-estabelecidos, busque analisar os processos da sua organização, fazendo uma validação constante para garantir que as operações estão sendo realizadas corretamente.
Além do mais, é essencial estar de acordo com as leis e os regulamentos do seu setor. Para isso, desenvolva um programa de compliance. Como criar um não é a mais simples das tarefas, elaboramos um manual com os principais passos que precisam ser dados. Clique na imagem e baixe-o gratuitamente:
