As 7 formas de phishing mais comuns e como evitá-las

 

                                               

No vídeo, o especialista em cibersegurança, Julio Della Flora, explica sobre os ataques de phishing em um episódio do nosso podcast sobre a profissão de especialista em cibersegurança. OUÇA O EPISÓDIO COMPLETO CLICANDO AQUI.

 

SEGURANÇA? SIM, PRECISAMOS FALAR SOBRE ELA DE NOVO!

 

Já trouxemos aqui no blog diversos assuntos relativos à segurança da informação. Aqui falamos sobre como os ataques criminosos estão cada dia mais sofisticados. Neste aqui, mostramos como a Lei Geral de Proteção de Dados Pessoais, a LGPD, vem para tentar aumentar a proteção das informações pessoais dos brasileiros, inclusive punindo o uso indevido delas.

Para jogar ainda mais luz aos cuidados que as empresas - e as pessoas físicas - devem ter em relação aos seus dados, trouxemos uma das formas mais comuns e mais eficazes de ataque: o phishing.  

Para jogar ainda mais luz aos cuidados que as empresas – e as pessoas físicas – devem ter em relação aos seus dados, trouxemos uma das formas mais comuns e mais eficazes de ataque: o phishing.

Por que essa forma de ataque é tão comum e por que ela funciona? Muito simples: os ataques de phishing utilizam a antiga “arte” de enganar as pessoas para que forneçam informações pessoais. O problema é que as táticas, mesmo as pouco sofisticadas, se aproveitam da fragilidade e, em alguns casos, da ingenuidade dos usuários.

O nome phishing vem do inglês e significa “pescaria”. Não é à toa que os golpes de phishing são realmente muito similares a uma pescaria comum: uma isca é lançada e o “pescador” aguarda pacientemente para que ela seja mordida. Mas, no caso de golpes de phishing, o que se perde são informações valiosas e, quase sempre, financeiras.

 

  

CLONE PHISHING

Nesta modalidade de ataque, os cibercriminosos clonam um site ou e-mail legítimo com o objetivo de atrair as suas vítimas para eles. Neste tipo de phishing a legitimidade de uma página ou de uma conta de e-mail é o ingrediente perfeito para que os criminosos tenham sucesso na obtenção de informações das suas vítimas.

 

VOICE PHISHING OU VISHING

Nos ataques de phishing aplicados através de telefones, conhecidos também Vishing, os criminosos utilizam diversas estratégias. Uma delas é criar mensagens automáticas e realizar ligações repetidas vezes para uma vítima utilizando diversos números diferentes. Quando conseguem contato com a vítima, solicitam informações pessoais, dados bancários e utilizam essas informações para obter vantagens econômicas.

 

PHARMING

Pharming é a combinação das palavras “farming” (agricultura) e “fishing” (pescaria). Por que esse ataque recebe esse nome?

Nele, os atacantes manipulam o tráfego de um site específico, como um agricultor manipula o solo a sua maneira, e os usuários que o acessarem acreditarão estar acessando um site legítimo. No entanto, todas as informações ali declaradas serão apropriadas pelo criminoso. Como isso acontece?

O hacker pode instalar em um computador um vírus ou cavalo de troia que é capaz de modificar o host do computador para desviar o tráfego dele para um destino desejado pelo criminoso. Ainda, os hackers podem contaminar um servidor DNS, fazendo com que os usuários acessem um site falso. Ao acessarem o site, um vírus ou um cavalo de troia podem ser instalados e serem utilizados para coletar informações pessoais e financeiras das vítimas.

 

SMISHING SMS

Smishing é uma forma de ataque que utiliza mensagens de texto ou SMS para obter a atenção das vítimas. A vítima recebe uma mensagem no seu celular que contém um link clicável ou um número para o qual ela deve ligar para obter alguma vantagem (como receber um prêmio de um sorteio) ou para resolver problemas bancários. Ao clicar ou ligar para o número, o ataque obtém sucesso e as informações são captadas.

 

WHALING

Whaling é um tipo de ataque de phishing que é direcionado a uma pessoa específica. Os chamados “peixes grandes” são CEOs, CFOs de uma empresa que possuem um acesso privilegiado às informações estratégicas do negócio. Após captar o acesso desses indivíduos, os criminosos se passam por eles e solicitam aos seus subordinados informações confidenciais da empresa.

Pelo fato de a solicitação partir de um superior hierárquico, os funcionários prontamente enviam as mensagens e fornecem as informações que os atacantes desejam para utilizá-las para fins ilícitos ou para extorquir esses indivíduos.

Geralmente, os ataques são feitos utilizando notificações internas da empresa ou simulam intimações judiciais.  

 

BLIND PHISHING

O Blind Phishing ou “pescaria cega”, é uma forma de ataque que realiza ataques em massa, sem um alvo específico, esperando captar ao menos algum dos que receberam o e-mail cliquem e forneçam as informações que o atacante deseja.

Como os cibercriminosos dão um “tiro no escuro”, contam com a ingenuidade ou a inabilidade de muitos usuários que fazem exatamente aquilo que eles esperam. E, embora muito amplo e relativamente simples, esses golpes funcionam até hoje.

 

SPEAR PHISHING

O Spear Phishing, por sua vez, é o oposto do Blind Phshing. Nessa forma de ataque há um grupo claramente definido ao qual os ataques serão direcionados. Isso ocorre porque o atacante quer informações bastante específicas de uma determinada companhia ou instituição.

Para que o Spear Phishing seja eficaz, é preciso que o meio utilizado pareça legítimo. Ao enviar um e-mail, por exemplo, os criminosos utilizam uma fonte aparentemente legítima, mas, na verdade, a vítima será direcionada para um site que instalará malwares em seu dispositivo.

 

A LB2 pode suportar sua empresa em todas as etapas para diminuir o risco de ser vítima de algum desses ataques. 

 

 

 

Agora que vimos as formas de phishing e deixamos claro como essas estratégias se aproveitam de falha humana para obter sucesso, como é possível evitar esse tipo de ataque ou, ao menos, diminuir significativamente a chance de algum deles ocorrer?

 

TREINAMENTO CONSTANTE DOS COLABORADORES

A mudança de cultura é um dos principais fatores que impactam na segurança da informação. É importante que os colaboradores sejam treinados para assimilar que as ameaças estão muito mais próximas do que pode parecer.

Abrir um anexo dentro de um e-mail, clicar em anúncios duvidosos, criar logins e senhas iguais para diferentes contas, todas essas ações podem colocar em risco toda uma operação.

Por isso, a mudança de cultura através de treinamentos constantes desde o ingresso dos colaboradores na empresa até a manutenção das boas práticas no cotidiano, é um dos fatores decisivos para a segurança da informação.

 

CRIAÇÃO DE UMA POLÍTICA DE SEGURANÇA

A política de segurança da informação é a principal guia no momento da tomada de decisão diária dos colaboradores. É nesse documento que a empresa vai descrever detalhadamente como os colaboradores devem agir para manter o nível de segurança desejado pela empresa.

Uma política de segurança deve trazer no seu conteúdo as regras e os procedimentos que todas as pessoas que têm acesso às informações precisam observar cotidianamente. A internet é uma ferramenta que está presente em todas as empresas e pode ser um fator importante de vulnerabilidade.

Outro ponto importante na criação de uma política é deixar claro quais são as consequências de não seguir essas recomendações. É importante que os colaboradores saibam que seguir a política não é uma escolha individual, mas uma regra dentro da empresa.

 

IMPLATANÇÃO DE UM SISTEMA DE GERENCIAMENTO DE SEGURANÇA DA INFORMAÇÃO

Existem normas que definem práticas para realizar uma gestão de segurança da informação. As normas da família ISO 27000 definem objetivos, processos e procedimentos para uma gestão eficaz da segurança.

Alguns dos requisitos estabelecidos pela norma ISO 27001 incluem:

• Formulação de um plano de tratamento das informações que seja capaz de identificar os recursos disponíveis para as medidas de segurança, a responsabilidade na gestão de risco e as prioridades da área;
• Execução das atividades de prevenção e de correção de possíveis falhas;
• Comunicação das ações de melhorias para todas os envolvidos no processo de implantação dessas medidas;
• Gerenciamento de operações e recursos do sistema de gestão.