proton@protonsistemas.com.br

+55 75 2101 3744

PortuguêsEspañol
Top

Saiba o que é o Phishing e como proteger sua empresa dessa ameaça

Saiba o que é o Phishing e como proteger sua empresa dessa ameaça

Por Mauricio Reale, Gerente de Tecnologia.

Empresas que já sofreram ataques cibernéticos em grande escala já sabem o quão desalentador é testemunhar todos os seus dados sumirem num piscar de olhos e as operações serem interrompidas, causando grandes perdas financeiras e prejudicando o atendimento aos clientes. Mesmo que os backups (cópias de segurança dos dados) estejam em dia e a equipe de TI seja muito eficaz na restauração dos sistemas, o prejuízo já está feito: além das perdas financeiras, o empresário pode ver a credibilidade da sua marca ser corroída e até ter que responder judicialmente se o ataque resultar na exposição de dados pessoais dos clientes. Não por acaso, muitas empresas preferem omitir que sofreram ataques até que o caso se torne público.
O cenário é assustador, porém ao contrário do que se acredita, a maioria desses ataques não acontecem por “força bruta” – uma entidade externa forçando a entrada através dos sistemas de segurança da empresa. Pelo contrário, muitas vezes as condições que permitem o ataque ser bem sucedido são proporcionadas por funcionários da própria empresa, vítimas de uma técnica muito usada por criminosos digitais: o Phishing.

O que é phishing?
Não existe tradução literal para a palavra phishing (embora alguns autores queiram associá-la a algo como “pescaria”), mas trata-se de um tipo de ataque cibernético que usa SMS, e-mail, telefone ou qualquer outra mídia digital para induzir a vítima a compartilhar informações pessoais (como senhas, nomes de usuários, contas, etc.) ou para baixar um arquivo malicioso, infectando o seu dispositivo e abrindo a porta para a invasão dos demais sistemas.
Um tipo de phishing muito comum é o domain spoofing (falsificação de domínio), o qual induz o usuário a acessar um site clonado, como se fosse legítimo, com o objetivo de obter dados confidenciais. Por exemplo, um funcionário desatento recebe um e-mail falso informando que é necessário atualizar a senha de acesso para o aplicativo do banco. Ele é direcionado para uma página que imita com riqueza de detalhes a página original do banco, e pede a senha atual antes de permitir criar a nova senha. A partir desse ponto, os criminosos já podem ter acesso à conta bancária da empresa e outros dados que podem ser usados para orquestrar o ataque.
Uma pesquisa da Federal Trade Commision**, dos EUA, revelou que até as grandes corporações são vítimas desse tipo de ataque: em 2020 a Amazon sofreu 1.262 reclamações de domain spoofing, seguida pela Apple (1.012) e até administração de seguro social dos EUA (223). Em relação ao segmento, a área de varejo foi a mais atingida com 1.335 denúncias de ataques, seguido das áreas de tecnologia (1.087) e governo (243). Somente nos EUA, o número de ataques registrados como phishing aumentou em 65% em relação ao ano anterior e 60% dos americanos relataram ter sido vítimas desse tipo de ataque – e 15% desses, mais de uma vez ao ano.

Como Proteger a Empresa?
A segurança da informação é uma combinação equilibrada de três elementos:
1) Tecnologias defensivas (backup dos dados, antivírus, firewalls, etc.);
2) Políticas bem definidas e aplicadas (senhas fortes, biometria, acesso controlado, auditorias dos sistemas e dados);
3) Usuários bem treinados.

Desses, o item 3 costuma ser o mais negligenciado e não é surpresa que os criminosos digitais se aproveitem disso, usando colaboradores sem treinamento como porta de entrada para iniciar um ataque. Sendo assim, é imprescindível que essas pessoas sejam orientadas sobre como identificar ameaças e a reagir de forma apropriada. De maneira geral, os colaboradores devem ser ensinados a desconfiar de certos padrões de mensagens de e-mail que contenham um dos elementos a seguir:

a) Incluem anexos no primeiro contato. Empresas idôneas, geralmente não enviam e-mails com anexos já no primeiro contato. O normal é direcionarem o usuário para um site corporativo. Podem haver envios de documentos em ocasiões posteriores (por exemplo, um contrato comercial em PDF a ser assinado), mas nesse ponto o colaborador já vai estar ciente disso.

b) Conta de e-mail pessoal como se fosse corporativo. Não se deve dar atenção a e-mails de empresas cujo domínio seja @hotmail ou @gmail. Significa que pode estar sendo usado uma conta pessoal (do atacante) que não pode ser verificada. Uma empresa idônea geralmente possui domínio (endereço de e-mail ou site) próprio, o qual é verificável.

c) Contém links que não batem com o domínio da empresa. O atacante está se passando como uma empresa legítima, mas os links no e-mail apontam para outro endereço fora do domínio da empresa. Por exemplo, o domínio da empresa é protonsistemas.com.br mas os links, criados pelo atacante, apontam para prot.005.biz. (A maioria dos programas leitores de e-mail permite verificar o link simplesmente passando o ponteiro do mouse sobre o mesmo, mas sem clicar).

d) Pedem dados sigilosos ou sensíveis. Nenhuma empresa séria solicita dados confidenciais (senhas, números de contas bancárias, etc.) através de e-mail. Esse é um indicativo clássico de que existe uma fraude em andamento.

e) Falta de personalização. Geralmente um contato legítimo de negócios vai saber o seu nome. Se o e-mail lhe tratar de maneira genérica como “Prezado cliente” ou usando uma informação pública “joao@email.com.br”, pode significar uma tentativa se phishing. É necessário pensar muito bem antes de clicar em algum link ou baixar um arquivo.

f) Contém erros gramaticais. Especialistas acreditam que esses erros são deliberados, como uma forma de “filtrar” as vítimas mais propícias a darem melhor resultado: pessoas com baixa escolaridade ou com déficit de atenção, ao passo que pessoas mais esclarecidas e atenciosas rapidamente perceberão que estão sendo enganadas nas próximas fases do ataque.

Recebi um e-mail que desconfio ser phishing. O que fazer?
O simples fato de abrir um e-mail contendo características de phishing não representa um perigo em si – o risco é decorrente apenas da abertura de anexos ou de clicar em um link. Nesses casos, é recomendável pedir ajuda ao suporte de TI local (se houver) ou ainda, entrar em contato com a empresa remetente por outro meio para confirmar a autenticidade do material recebido. Persistindo a dúvida, apague o e-mail. A regra em qualquer caso é simples: da mesma forma que você não compartilharia dados sigilosos com um estranho na rua, não o faça através do e-mail ou se outra mídia digital.

Conclusão
O phishing é uma das centenas de estratégias criadas por criminosos digitais para terem acesso aos dados da sua empresa, sendo muito eficaz e de ocorrência bastante comum em todas as partes do mundo. Sendo assim, é importante assegurar que todos os colaboradores estejam atentos e passem a adotar comportamentos mais defensivos e responsáveis ao executarem suas atividades online, especialmente nesse momento onde muitos trabalham em casa – um local tipicamente desprovido da mesma infraestrutura de segurança que há na empresa.

** Identity Theft Recovery Steps | IdentityTheft.gov

Compartilhar
Seja o primeiro a comentar

Postar um comentário