Phishing
Pod Security NetworkOlá meu nome é João Pontes
E este é o Pod Security Network
Hoje vamos falar sobre Phishing
“Phishing é a forma mais simples de ciberataque e, ao mesmo tempo, a mais perigosa e eficaz.”
“O cibercriminoso é chamado de Phisher utiliza de técnicas de engenharia social e computacional para obter resultados em seus ataques”.
O phishing é um dos métodos mais usados por invasores para acessar suas contas digitais ou até mesmo sua conta bancária – e esses tipos de ataques estão se tornando mais comuns e mais sofisticados ao longo do tempo. Mesmo se você acha que conhece um e-mail de phishing quando vê um, novas estratégias continuam surgindo.
Os ataques de phishing, consistem nos usuários desatentos que clicam em links maliciosos ou entregam suas informações de login. De acordo com dados do consórcio Anti-Phishing Working Group (APWG), o primeiro trimestre de 2018 registrou 46% mais golpes desse gênero em relação ao mesmo período do ano anterior. Esses ataques são tão populares no Brasil que o relatório do consórcio costuma reservar uma seção para destacar as tendências do País – somos os campeões do mundo quando se trata de phishing.
Apesar dos ataques de phishing parecerem fáceis de detectar para uma parcela dos usuários, os cibercriminosos vêm sofisticando suas técnicas para enganar as pessoas. Eles têm utilizado HTTPS para fazer com que as pessoas acreditem que as páginas são legítimas, por exemplo – 35% de todos os casos de phishings usam domínios com HTTPS de acordo com a APWG.
O phishing quase sempre é uma porta de entrada para outros tipos de ataques – e justamente por isso é interessante para os cibercriminosos. A partir de um ataque do gênero, o usuário pode ser enganado e fornecer informações de login, dados de cartões de crédito, ativar notificações e passar a receber novos golpes ou até mesmo baixar um arquivo malicioso em seu smartfone ou computador.
O Brasil ocupa a ingrata posição de líder mundial em ataques de phishing. De acordo com dados de Cibersegurança da Kaspersky, quase 30% dos internautas no país sofrem ao menos uma tentativa de golpe por ano.
O golpe é popular por sua simplicidade e eficácia. Uma pesquisa da Kaspersky revela que mais de 90% dos ciberataques começam por um e-mail de phishing. De acordo com o mesmo estudo, as pessoas abrem mensagens de golpe por curiosidade, medo e urgência. Quase 60% das tentativas de golpe simulam mensagens de instituições financeiras com objetivo de roubar credenciais de acesso e dados dos usuários.
Os Cibercriminosos tem diversificado os ataques de phishing. Se antes eram em sua maioria e-mails, agora também chegam por SMS, propaganda em redes sociais, anúncios no Google e até via WhatsApp. Em tempos de fake news é muito provável que ataques de phishing via WhatsApp consigam algum sucesso. Um link compartilhado em um grupo pode atingir até 256 pessoas de uma vez só – com a mensagem sendo encaminhada, o alcance é exponencial.
No final das contas, o golpe de phishing costuma ser bem-sucedido por causa do comportamento das pessoas estamos em uma época em que muitos não checam informações e não vão atrás de uma fonte confiável de informação e, às vezes, encaminham mensagens sem se dar muita conta do possível impacto. Principalmente porque confiamos em nossos amigos e familiares.
É muito importante que você verifique duas, três vezes cada página de destino que você for visitar procure gráficos ou ortografias que estejam fora do lugar ou, melhor ainda, abra uma nova guia e vá direto para o site.
Além do phishing tradicional que falamos anteriormente temos o:
Spear phishing
Que é um ataque direcionado e feito sob medida para a vítima por exemplo: um cibercriminoso pode ter como alvo de spear phishing um funcionário cujas responsabilidades incluam a possibilidade de autorizar pagamentos. Ele envia um e-mail alegando ser de um executivo da organização, instruindo o funcionário a efetuar um pagamento substancial a esse executivo ou a um fornecedor quando, na verdade, o link de pagamento malicioso o envia para o atacante.
Clone phishing
Neste ataque, os criminosos fazem uma cópia ou clone de emails anteriormente enviados, mas legítimos, que contenham um link ou um anexo. Depois, o phisher troca os links ou arquivos anexos por maliciosos, disfarçados de elementos verdadeiros. Os usuários clicam no link ou abrem o anexo que, frequentemente, permite que os seus sistemas sejam invadidos.
Phone phishing
Phishing por telefone, também chamado de phishing por voz ou “vishing”, o phisher efetua uma chamada telefônica, tentando se passar por funcionário do seu banco, a polícia ou, mesmo, uma financeira, em seguida, pressiona a vítima sobre qualquer tipo de problema e insistem que deverá ser resolvido imediatamente através do fornecimento dos seus dados bancários ou do pagamento de uma multa. Normalmente, solicita que efetue um pagamento através de uma transferência ou de cartões pré-pagos.
SMS phishing, ou "smishing", é o gémeo perverso do vishing, praticando o mesmo tipo de esquema sendo que, com um link malicioso que a vítima deve clicar através de uma mensagem SMS.
Como se proteger do Phishing?
O phishing é uma ameaça que pode surgir no trabalho, em casa, computadores ou smartfones a primeira defesa contra o phishing é o bom senso.
Tenha sempre atenção ao verifica um email, ler publicações ou jogar o seu jogo online favorito.
Não abra e-mails desconhecidos.
Nunca clique num link de e-mail, a menos que saiba exatamente o que é.
O HTTPS não é garantia de que o site é legítimo, mas quase todos os sites que o são usam HTTPS, por ser mais seguro. Os sites HTTP mesmos legítimos, estão vulneráveis aos hackers.
Se receber um e-mail de alguém conhecido que não estava esperando com links ou arquivos confirme com essa pessoa o recebimento do e-mail e do que se trata.
Passe o mouse sobre o link para analisar se o endereço do link corresponde ao que está escrito.
Use software de segurança anti-malware a maioria das ferramentas de cibersegurança têm capacidade de detetar quando um link ou um anexo não é aquilo que parece.
Mantenha-se alerta, tome precauções e esteja atento a tudo que pareça suspeito.
Meu nome é João Pontes
E este é o Pod Security Network.
https://www.phishing.org/what-is-phishing