O que é phishing e como você pode evitar esse ataque cibernético?

O phishing é um dos tipos mais antigos e comuns de fraude cibernética. Veja como se proteger.
Você recebe um e-mail de um serviço que usa, informando que sua conta está fechando. Melhor clicar no link antes que acabe! Parece legítimo, mas se você clicar no link, poderá ser vítima de um dos golpes cibernéticos mais antigos e comuns: phishing. Então, o que é phishing, exatamente?

Esse tipo de fraude cibernética rouba suas informações ou infiltra software malicioso (como spyware ou ransomware) em seu computador usando e-mail como um cavalo de Tróia para violar sua segurança online. O objetivo de um ataque de phishing é fazer você pensar que o e-mail vem de alguém que você conhece, como seu banco ou empregador, e induzi-lo a agir – clique em um link ou baixe um anexo – antes que seja tarde demais.

Embora o phishing seja um dos truques mais antigos do livro, as técnicas usadas nessas mensagens estão se tornando cada vez mais sofisticadas. Essa é uma perspectiva assustadora – e uma boa razão para se armar com o conhecimento sobre a prática em suas muitas formas. Pedimos aos especialistas em segurança cibernética que não apenas respondessem “o que é phishing?” mas também explicar como evitar ser vítima do golpe. Existem várias estratégias, muitas das quais são semelhantes às etapas que você seguiria se seu computador fosse hackeado ou se você estivesse lutando contra doxxing e ataques à sua lista de senhas.

O que é phishing?
“Phishing é uma forma de engenharia social que usa e-mail ou sites maliciosos para solicitar informações pessoais ou induzi-lo a baixar software malicioso”, diz Eric Goldstein, diretor assistente executivo de segurança cibernética da Cybersecurity & Infrastructure Security Agency.

Pronunciado como “pesca”, o termo evoca a imagem de um pescador jogando um anzol na água. Nesse caso, o e-mail de phishing é a isca, e o golpista por trás dele está apenas esperando que o alvo morda. Quanto ao “ph” no início da palavra, ele pode ter sido influenciado pelos primeiros termos de hacking, como phone phreaking (hackear o sistema telefônico).

A prática pode ter começado na America Online (AOL) na década de 1990, quando hackers tentavam enganar os usuários da AOL para que fornecessem suas informações de login. Originalmente, era uma técnica para obter números de cartão de crédito, mas cresceu ainda mais.

Atualmente, quando você clica em um e-mail de phishing, geralmente instala um vírus ou software malicioso em seu computador ou dispositivo. Clique nele em um computador ou dispositivo de trabalho e o vírus ou software malicioso pode dar ao invasor acesso a toda a rede da empresa.

“Um e-mail de phishing típico tentará gerar um senso de urgência ou FOMO (medo de perder) e muitas vezes faz uma oferta que parece boa demais para ser verdade… porque é”, diz Quentin Hodgson, pesquisador sênior que se concentra em segurança cibernética na Rand Corporation. “Quantas empresas podem realmente dar US$ 300 por sua opinião ou enviar um iPad grátis?”

A maioria das principais violações de dados vem de e-mails de phishing. O conhecido ataque Colonial Pipeline de 2021, por exemplo, foi um ataque de ransomware no qual criminosos tiveram acesso por meio de e-mails de phishing direcionados a um funcionário da empresa. E o ataque de 2014 à Sony Pictures foi desencadeado por vários e-mails que pareciam ser da Apple, enviados a executivos da empresa.

Quais são os tipos de phishing?
Até agora, você já passou de perguntar: “O que é phishing?” A próxima pergunta urgente é: Que formas o phishing assume? Os hackers podem fazer muito com apenas o seu e-mail, e é provavelmente por isso que o phishing por e-mail reina supremo. Mas há outras maneiras pelas quais os maus atores usam o phishing para nos atingir. Depois de conhecer as várias táticas, você pode evitá-las melhor.

E-mail de phishing
Mais de 90% de todos os ataques cibernéticos começam com um e-mail de phishing, diz Goldstein. Existem três componentes principais de um e-mail de phishing que enganará vítimas desavisadas:

Remetente falso: como parte do ardil para fazer você acreditar que um e-mail de phishing é legítimo, os invasores fazem parecer que o e-mail é de alguém em quem você confia, como sua empresa de cartão de crédito, uma instituição governamental ou um varejista como a Amazon. É uma prática obscura conhecida como spoofing.
Linha de assunto que chama a atenção: os golpistas escrevem linhas de assunto de e-mail para que você abra a mensagem.
Mensagem convincente: o conteúdo de um e-mail de phishing visa fazer com que você baixe um anexo (como um arquivo do Microsoft Word com código malicioso nas macros) ou clique em um link que o levará a um site malicioso. Lá, você pode baixar inadvertidamente software malicioso, como adware, spyware, ransomware ou vírus.

Spear phishing
Esse tipo de ataque tem como alvo uma pessoa ou trabalho específico em uma empresa ou organização. Hodgson observa que o spear phishing contrasta com uma “explosão em massa” do mesmo tipo de e-mail para um monte de destinatários na rede da empresa com a esperança de pegar alguns. Muitas vezes, um e-mail de spear phishing terá como alvo o departamento financeiro de uma empresa, fingindo ser um gerente e solicitando uma grande transferência bancária imediatamente.

Fraude de CEO, outro tipo de spear phishing, visa – você adivinhou – o CEO de uma organização. O objetivo é fazer com que a pessoa na posição de liderança da empresa transfira grandes somas de dinheiro para o invasor.

Smishing
Smishing refere-se a SMS phishing, um tipo de ataque no qual os golpistas enviam mensagens de texto SMS para um telefone celular.

Esta pode ser a forma mais perigosa de phishing no momento. Embora as pessoas estejam cientes dos golpes de e-mail desde que o primeiro “príncipe nigeriano” enviou um pedido de fundos, elas podem não estar tão vigilantes quanto a mensagens falsas.

Vishing
A maioria de nós está familiarizada com chamadas robóticas – recebemos o suficiente delas ao longo do dia. Mas essa não é a pior coisa que alguém pode fazer apenas com o seu número de telefone.

Pior do que os operadores de telemarketing são os bandidos que usam o correio de voz ou um telefonema como um ataque de phishing. Em um processo conhecido como vishing, uma ligação telefônica gravada pede que você pressione um número em seu teclado, ou um chamador busca suas informações pessoais, talvez dizendo que é do Internal Revenue Service (IRS), seu banco ou do seu filho. escola.

Manipulação de links
No mundo dos golpes de phishing, a manipulação de links é como prender um verme falso em seu anzol para enganar um peixe e fazê-lo morder. Exceto neste caso, o worm é um link aparentemente legítimo. Escondido abaixo dele, no entanto, há um link para um site malicioso.

Aqui está um truque que o ajudará a evitar clicar acidentalmente em um link manipulado: Passe o mouse sobre o link, mas não clique ainda. Olhe na parte inferior da sua página da web para ver o URL real para o qual você será direcionado. Se parecer suspeito, digamos, se o texto do link for “altere sua senha do Google”, mas o URL for http://www.gooooooglepaswrd.com, provavelmente é manipulação de link.

Clonar phishing
Digamos que você recebeu recentemente um e-mail do seu banco com um anexo ou link. Semanas depois, você recebe o mesmo e-mail. Apenas mais um caso de empresas enviando muitos e-mails, certo? Talvez não.

Com o phishing de clones, os ciberataques recriam e-mails legítimos. Todos os detalhes são os mesmos, mas substituem os links ou anexos por conteúdo de phishing. Eles acham que a maioria das pessoas reconhecerá o e-mail, mas não observará cuidadosamente as alterações. E muitas vezes eles estão certos.

Malvertising
Com um nome derivado das palavras “malicioso” e “publicidade”, o malvertising combina duas das suas coisas menos favoritas: sites maliciosos e anúncios. Nesse tipo de ataque de phishing, os cibercriminosos enviarão a você um anúncio falso que parece legítimo, mas contém links para sites que espalham malware.

Phishing do mecanismo de pesquisa
Essa forma sorrateira de ataque de phishing tem como alvo você quando você pesquisa. Considere este cenário: você recebe uma solicitação suspeita de fundos no PayPal. Certo que é uma farsa, você faz uma pesquisa no Google pelas informações de contato do PayPal. Você clica em um link e, sem saber, chega a um site falso do PayPal, que o entrega diretamente nas mãos de golpistas que solicitarão todas as suas informações pessoais.

Esse é apenas um exemplo de uma ameaça chamada phishing do mecanismo de pesquisa. Usando técnicas de SEO, os cibercriminosos farão com que seu site de phishing apareça na primeira página do Google. A partir daí, eles podem causar todo tipo de dano: fazer você clicar em links maliciosos, baixar malware ou ligar para um dos bandidos e fornecer informações pessoais.

Pharming
Esse tipo de ataque cibernético direciona o tráfego de um site legítimo para um falso. Embora o site possa parecer legítimo, ele contém material malicioso destinado a roubar seus dados pessoais.

Embora os corretores de dados possam usar cookies e outras ferramentas para coletar informações pessoais para vender a anunciantes, campanhas políticas ou outras partes interessadas, o pharming coleta dados privados com os quais os hackers podem roubar sua identidade.

Deixe um comentário