Se você acha que não sabe o que é phishing, talvez só não tenha “ligado o nome à pessoa”.

Ataques de phishing tornaram-se muito comuns, tanto para usuários domésticos como para empresas. É bem provável que você já tenha se deparado com um deles.

Neste artigo vamos conhecer (ou reconhecer) o que é esse tipo de ataque e de que forma sua empresa pode tentar evitá-lo.

O que é phishing?

Phishing é um crime virtual, em que alguém tenta, de forma ilícita, obter informações confidenciais de outras pessoas. Trata-se de uma das formas de ataque da chamada engenharia social.

As informações mais visadas nesse tipo de golpe são senhas, CPF, números de contas correntes e cartões de crédito, entre outras.

Mas há também ataques de phishing realizados para obter senhas de redes sociais, por exemplo. Nesse caso, o objetivo é fazer uso indevido desses acessos.

O primeiro caso judicialmente conhecido de phishing ocorreu em 2004 na Califórnia. Um jovem criou um site falso e a partir dele coletou dados bancários de vários usuários. De posse dos dados, passou a sacar dinheiro de suas contas.

A palavra vem do inglês “fishing” (pescar) e remete à ideia de fisgar usuários desavisados a partir de uma isca.

O Brasil está entre os países com maior incidência de ataques de phishing em todo o mundo.

O ponto de partida dos ataques

As formas mais comuns de ataque se dão através de e-mail, mas também podem ocorrer por telefone, mensagens de texto (SMS) ou sites falsos.

De forma geral, a ideia é a mesma. Qualquer que seja o canal escolhido, a mensagem que chega contém algo que chama a atenção do usuário e aparenta vir de uma fonte confiável, como uma empresa, um banco ou um órgão público.

Muitas vezes, a mensagem alega que há necessidade do usuário atualizar, validar ou confirmar dados pessoais ou bancários, por exemplo.

Em seguida, solicita que o usuário execute uma ação, como acessar um determinado link, ou abrir um documento anexo ou ainda instalar algum software.

A partir desse ponto, o usuário estará completamente vulnerável a qualquer ação que o criminoso tenha preparado.

Tipos de phishing

Existem diferentes formas de ataque de phishing. Listamos a seguir as mais conhecidas.

Blind Phishing: é um ataque em massa, disparado aleatoriamente por e-mail, com o objetivo de fisgar o maior número possível de usuários desavisados.

Spear phishing: é o oposto do blind phishing, direcionado contra um alvo específico, como funcionários de uma determinada instituição, clientes de uma determinada empresa ou até uma única pessoa. Nesse tipo de ataque, o objetivo é acessar uma informação específica.

Clone phishing: é realizado a partir de um site falso que se apresenta no lugar do original e coleta dados do usuário, como login e senha, por exemplo. Em seguida, ocorre um redirecionamento do site falso para o verdadeiro e o usuário nem percebe a interceptação de dados.

Whaling: whale é baleia em inglês. Portanto, trata-se de pescar “um peixe grande”, ou seja, um executivo de alto nível, por exemplo. São ataques que geralmente se apresentam como notificações internas da empresa ou intimações judiciais.

Vishing: utiliza canais de voz para a realização do ataque, por isso a letra “v” no início da palavra. Pode vir como uma mensagem via SMS solicitando que entre em contato com determinado número, ou pode ser uma ligação telefônica direta. Nesse caso, o golpista usa recursos para esconder a identificação de chamada.

Pharming: atinge muitos usuários ao mesmo tempo, pois o golpista provoca o chamado “envenenamento do DNS”, isto é, ele faz com que o usuário, ao buscar um determinado site na internet, seja redirecionado para outro, possivelmente falso e mal intencionado.

Smishing: é o phishing via SMS. Geralmente traz uma mensagem que deixa o usuário preocupado ou ansioso, mas nunca indiferente, induzindo-o a uma ação imediata.

8 dicas para evitar um ataque  de phishing contra a sua empresa

A maior parte dos ataques a empresas se enquadra na categoria spear phishing, ou seja, são ataques direcionados.

De forma preocupante, uma pesquisa feita pela Intel revelou que quase a totalidade dos usuários de internet tinha dificuldade em reconhecer um ataque de phishing.

E é principalmente dos usuários que depende o sucesso da prevenção a esses ataques. Daí a importância de conhecer algumas medidas que podem garantir maior segurança ao ambiente corporativo.

Listamos a seguir 8 dicas para a prevenção contra ataques de phishing em sua empresa.

#1. Não abra e-mails suspeitos

Não responda a eles, não clique em links que eles venham a fornecer, não abra nem baixe arquivos anexos.

Verifique por outros meios – o telefone, por exemplo – se o remetente que consta no cabeçalho foi quem realmente enviou aquele e-mail.

O uso do filtro antispam não chega a ser uma garantia, mas contribui para reduzir a quantidade de e-mails suspeitos na caixa de entrada.

#2. Verifique links suspeitos em segurança

Para verificar um link suspeito, não clique diretamente sobre ele. Prefira digitar o endereço manualmente no navegador.

#3. Verifique a grafia dos endereços de sites

No caso de acesso a um site, verifique sua URL, ficando atento a pequenas diferenças em sua grafia.

#4. Verifique se está em uma página segura

Principalmente quando precisar fornecer dados confidenciais, certifique-se de que está em uma página segura, com o “https” no início do endereço e o ícone do cadeado.

#5. Mantenha software atualizado

Muitos ataques de phishing são complementados pela entrada de softwares mal intencionados no ambiente.

Versões atualizadas do antivírus, do antispyware, do navegador e do firewall sempre terão melhor capacidade de detectar softwares mal intencionados.

#6. Proteja suas senhas

Use um gerenciador de senhas, por exemplo o KeePassX. Ele armazena de forma segura todas as suas senhas, e lembre-se de não usar a mesma senha para mais de um serviço.

Outra medida possível em relação à segurança no fornecimento de senhas é o uso da autenticação de dois fatores, de forma que o golpista nunca consiga a senha completa para acesso.

#7. Forneça uma proteção mais rigorosa às pessoas mais visadas

Quanto mais estratégica é a posição que alguém ocupa na empresa, mais informações ela possui. Logo, maior é o risco para a empresa se ela for vítima de spear phishing.

É preciso redobrar a proteção dos equipamentos que essa pessoa utiliza e ao mesmo tempo conscientizá-la quanto a essa questão.

#8. Preserve o e-mail de sua empresa

Empresas que enviam muitos e-mails a seus clientes tornam-se candidatas naturais a terem seu endereço eletrônico “apropriado” por golpistas.

Assim, verifique periodicamente se o e-mail da sua empresa, ou até mesmo a sua identidade visual, já não está sendo utilizado por golpistas para enviar iscas mal intencionadas a seus clientes..

Conclusão

Em resumo, a prática do phishing é muito frequente e todo cuidado é pouco para garantir a segurança do ambiente digital da empresa.