O que é phishing, quais são os principais tipos e como evitar ataques?
E-commerce
24 de outubro de 2023
Você já recebeu algum e-mail ou SMS que parecia suspeito? Se sim, você pode ter sido vítima de uma tentativa de phishing, uma técnica muito utilizada por fraudadores para obter as informações pessoais de terceiros.
Para se ter uma ideia da gravidade do problema, um relatório da Kapersky revela que, em 2022, o sistema antiphishing da empresa detectou e bloqueou cerca de 508 milhões de tentativas de fraudes globalmente, com 10,57% delas acontecendo no Brasil.
Pensando nos canais utilizados para a realização do golpe, o país foi o mais atacado no mundo por phishing pelo WhatsApp e o quarto via e-mail.
Mas como funciona esse crime de segurança digital na prática e como é possível se proteger dessa ameaça? Este conteúdo vai responder a essas perguntas, mostrando como evitar ataques de phishing contra o seu negócio e os seus clientes!
O que é phishing?
Phishing é o crime de enganar as pessoas, por meio de comunicações falsas, para que compartilhem seus dados pessoais e/ou financeiros, como senhas bancárias, número do cartão de crédito, informações de login etc.
O nome se origina do termo em inglês “fishing”, que significa “pescar”, fazendo alusão ao objetivo de obter ilegalmente informações confidenciais.
O phishing é uma técnica de engenharia social, que busca manipular psicologicamente o usuário para a obtenção de informações sigilosas.
Na prática, os cibercriminosos enviam mensagens falsas, por meio de canais como e-mail, SMS e WhatsApp, se passando por fontes confiáveis — empresas renomadas, instituições financeiras e órgãos governamentais, entre outros.
Então, quando a pessoa abre a comunicação, ela é incentivada a realizar alguma ação prejudicial. Pode ser baixar um arquivo malicioso ou abrir um link falso, clonado a partir do site original de uma instituição legítima, onde são solicitados os seus dados pessoais, por exemplo.
Em alguns casos, também é baixado um malware no dispositivo do usuário. Dentre as consequências para o usuário, estão roubo de identidade e perdas financeiras.
Quais são os tipos de phishing?
As tentativas de phishing podem acontecer de diferentes formas, com novas técnicas e canais surgindo a cada dia. Por isso, é importante ficar por dentro de como funcionam os principais mecanismos de phishing.
Scam
Esse é o tipo mais comum de phishing, tendo como objetivo roubar os dados pessoais de um grande número de usuários, escolhidos de forma indiscriminada.
Para isso, são enviadas comunicações mais genéricas para bases de contatos volumosas, podendo ser utilizados canais como e-mail, telefone, SMS e redes sociais.
As mensagens geralmente buscam ativar as emoções do usuário, por meio de ameaças, avisos urgentes e promessas de ofertas imperdíveis, por exemplo. Elas também costumam utilizar elementos textuais e visuais para parecer legítimas.
Spear phishing
O spear phishing é uma modalidade de ataque mais direcionada, sendo muito utilizado contra empresas. Ele é realizado contra um grupo específico de usuários, como funcionários de uma determinada empresa ou órgão governamental.
Esse golpe costuma ser mais eficaz, porque as comunicações são personalizadas com detalhes específicos sobre as vítimas, como nomes, cargos e endereços de e-mail, de forma a parecerem confiáveis.
Clone phishing
No clone phishing, os golpistas replicam um e-mail legítimo, que já foi enviado anteriormente pela empresa ou organização, trocando somente o link ou anexo da comunicação.
Então, quando a vítima recebe o e-mail clonado, ela é direcionada a baixar um arquivo malicioso ou acessar um site falso, comprometendo as suas informações pessoais.
Whaling
A expressão whaling vem da palavra “whale” (baleia, em português), em referência à importância da vítima desse tipo de golpe. Nesse ataque de phishing, os alvos são executivos de alto nível, como o CEO ou CFO de uma empresa.
As comunicações geralmente são referentes a notificações judiciais, queixas de clientes ou comunicados internos da empresa.
Vishing
O vishing é uma variação do phishing na qual as tentativas de fraude são realizadas por meio de ligação telefônica. Os golpistas costumam ligar para os alvos, fingindo ser atendentes de uma empresa real, e solicitam os seus dados pessoais para a realização de alguma ação.
Em alguns casos, também são enviadas mensagens via SMS ou e-mail solicitando que o usuário ligue para o número do fraudador para liberar algum serviço ou resolver algum problema falso.
Smishing
O smishing funciona de forma similar ao vishing — a diferença é que ele é realizado via mensagens de texto (SMS). Mais recentemente, os fraudadores também têm adaptado essa prática para aplicativos de mensagens instantâneas, como WhatsApp e Facebook Messenger.
Phishing nas redes sociais
As redes sociais também têm sido utilizadas pelos criminosos para a realização de phishing. Nesse caso, são criados perfis falsos de empresas, que se parecem muito com as contas verdadeiras das organizações.
Esses perfis compartilham sorteios, descontos e ofertas imperdíveis, que levam a interações com os criminosos ou a links falsos criados para o roubo das informações das vítimas. Também podem ser realizados anúncios falsos em ferramentas de mídia paga.
Como evitar ataques de phishing?
É essencial conhecer as boas práticas de segurança de dados para manter as suas informações pessoais protegidas. Para as empresas, também é fundamental realizar treinamentos periódicos para conscientizar os funcionários sobre essas medidas.
Para te ajudar nisso, listamos abaixo alguns pontos essenciais para evitar ataques de phishing:
- Desconfie de ofertas boas demais para serem verdade e promessas de conseguir dinheiro facilmente;
- Desconfie de mensagens ameaçadoras e urgentes demais — se receber uma comunicação de bloqueio de algum serviço, confirme nos canais oficiais de atendimento da empresa antes de realizar qualquer ação;
- Verifique os cabeçalhos das mensagens e os remetentes dos e-mails antes de abri-los, sempre suspeitando de remetentes desconhecidos e incompatíveis com as empresas de onde dizem ser;
- Não responda e-mails, SMS ou ligações que peçam informações pessoais;
- Atente-se a erros de ortografia, gramática e layout nas mensagens, assim como saudações genéricas — esses são sinais comuns de phishing;
- Nunca clique em links ou anexos suspeitos;
- Confira sempre o link e o domínio do site que você está acessando — você pode passar o mouse sobre um link, sem clicar nele, para verificar se ele aponta para o endereço correto;
- Tenha cuidado com os sites de buscas, certificando-se de que o site que você está clicando é o correto;
- Verifique se a página que você acessou é segura, procurando o “https” no começo da URL e o ícone de um cadeado em seu navegador, que indicam a presença do certificado SSL no site;
- Procure pelo selo de verificação quando receber uma mensagem de uma empresa conhecida pelas redes sociais ou aplicativos de mensagens instantâneas;
- Não compartilhe mensagens falsas;
- Tenha cuidado com as informações que você divulga nas redes sociais, uma vez que elas podem ser usadas em golpes de engenharia social, para obter informações sobre você.
Vale reforçar que, caso você receba alguma mensagem suspeita de phishing, o ideal é entrar em contato com a organização a partir dos seus canais de comunicação oficiais.
Nesse caso, não clique em nenhum link ou anexo da mensagem recebida, acessando o site da empresa diretamente pela barra de navegação ou por uma pesquisa na web.
Dicas para quem tem um negócio
Para quem tem um negócio, também é importante se atentar para casos em que a sua marca seja utilizada pelos criminosos para aplicar golpes de phishing nos consumidores.
Uma dica é investir em branding, mantendo uma identidade visual consistente e uma marca forte em todos os seus canais. Isso dificulta a ação de fraudadores que tentam se passar pelo seu empreendimento.
Também tenha canais de comunicação claros e acessíveis. Assim, em caso de dúvidas, os seus clientes podem facilmente entrar em contato para verificar informações de compra e evitar cair em golpes de phishing.
Além disso, se você tem um negócio digital, também é fundamental se atentar para outros tipos de fraudes online, evitando prejuízos financeiros e impactos na reputação da sua marca.
Nesse sentido, o antifraude é uma solução imprescindível para adicionar uma camada de proteção extra à sua empresa, identificando e bloqueando automaticamente transações com alto risco de fraude. Saiba mais sobre o sistema antifraude aqui no nosso blog!
Você também vai gostar..
28, novembro, 2024
Teste A/B: o que é e como otimizar seus resultados?
26, novembro, 2024
Fulfillment: o que é, principais etapas e como funciona?
21, novembro, 2024