O que é phishing?

Como o phishing funciona?

A maneira mais fácil de cometer um roubo provavelmente é convencer as vítimas de que elas não estão sendo roubadas. Esse é o modelo básico do golpista de phishing.

Os ataques de phishing começam com um e-mail, telefonema, mensagem de SMS, publicação em redes sociais ou algo similar que pareça vir de uma fonte confiável. A partir disso, o agressor pode ter vários tipos de objetivos, como convencer a vítima a fornecer informações de conta, fazer uma transferência no PayPal, baixar malwares ocultos e assim por diante.

Vejamos um exemplo comum. A vítima recebe um e-mail ou mensagem de texto que parece ser do seu banco. A mensagem de phishing menciona uma oferta especial que está acabando, uma suspeita de roubo de identidade ou algo semelhante e solicita que a vítima acesse sua conta bancária. A mensagem leva a uma página web falsa, e a vítima involuntariamente fornece ao invasor suas credenciais de login.

O ataque nesse exemplo, como a maioria dos ataques de phishing, cria cuidadosamente um senso de urgência que engana a vítima a baixar a guarda e não parar para considerar se a mensagem é suspeita. No entanto, na prática, isso não é tão simples, pois o agressor dispõe de vários artifícios.

Tipos de ataques de phishing

Os agressores inventaram uma ampla variedade de técnicas de phishing para explorar diferentes tecnologias, tendências, setores e usuários. Esses são alguns dos tipos mais comuns:

• Phishing de e-mail: um email de um remetente aparentemente legítimo tenta convencer o destinatário a seguir um link malicioso e/ou baixar um arquivo infectado. O endereço de e-mail e qualquer URL em um phishing de e-mail podem usar técnicas de falsificação para parecerem legítimos.
• Smishing/phishing por SMS: por meio de mensagem de texto, os agressores tentam convencer as vítimas a fornecer informações pessoais, como números de cartão de crédito ou outros números de contas.
• Vishing/phishing por voz: ele é essencialmente igual ao smishing, mas é realizado por telefone. Esses ataques buscam obter informações de cartões de crédito ou outros detalhes sigilosos.
• Angler phishing: fazendo-se passar por organizações legítimas nas redes sociais, os agressores solicitam informações pessoais das vítimas, geralmente oferecendo vales-presente, descontos, etc.
• Phishing por pop-up: um ataque comum em smartphones. Uma oferta ou aviso aparece em um pop-up, geralmente contendo um link malicioso para convencer as vítimas a divulgar dados pessoais.
• Spear phishing: enquanto muitos golpes de phishing buscam vítimas aleatoriamente, o spear phishing ataca indivíduos específicos cujos detalhes pessoais o invasor já conhece até certo ponto. Esse detalhe extra pode aumentar muito as chances do phishing ser bem-sucedido.
• Whaling: os agressores atacam executivos ou outros membros importantes de uma organização para tentar obter informações que forneçam a eles acesso privilegiado ao ambiente visado.
• Clone phishing: os agressores enviam às vítimas e-mails que parecem ser de remetentes confiáveis, como instituições financeiras ou serviços comerciais. Ele está altamente relacionado ao spear phishing e é uma tática comum em ataques de comprometimento de e-mail corporativo (BEC).
• Evil twin phishing: os agressores atraem as vítimas com um ponto de acesso de Wi-Fi aparentemente confiável e, em seguida, realizam ataques “man-in-the-middle”, interceptando os dados que as vítimas transferem por essa conexão.
• Pharming: os agressores sequestram a funcionalidade de um servidor DNS (Domain Name System) para que ele redirecione os usuários para um site falso malicioso mesmo quando eles digitam um URL benigno.

Os ataques de phishing são muito perigosos?

Os ataques de phishing podem ser extremamente perigosos. Grandes campanhas de phishing podem afetar milhões de pessoas, roubando dados sigilosos, implantando ransomware e outros malwares e obtendo acesso às áreas mais sigilosas dos sistemas de uma empresa.

Perda de dados sigilosos, danos à reputação e problemas regulatórios estão entre as muitas possíveis consequências de um ataque de phishing bem-sucedido em nível organizacional. Os riscos para qualquer vítima de phishing podem incluir a perda ou o comprometimento de dados sigilosos, e as organizações também enfrentam possíveis danos à reputação e problemas regulatórios.

Como o phishing afeta as empresas?

No nível organizacional, as consequências de um ataque de phishing bem-sucedido podem ser graves e extensas. Uma conta bancária corporativa comprometida pode resultar em perdas financeiras. Um phishing que leva a um ataque de ransomware pode resultar na perda de dados. Uma organização pode sofrer grandes danos à reputação por qualquer violação de dados sigilosos que exija sua divulgação.

Além disso, qualquer uma dessas situações pode ter consequências ainda mais graves. Os criminosos cibernéticos podem vender os dados roubados na dark web, inclusive para concorrentes sem escrúpulos. Ademais, muitas violações precisarão ser divulgadas aos órgãos reguladores do setor ou do governo, que podem impor multas ou outras sanções. Isso pode envolver a organização até mesmo em investigações de crimes cibernéticos, o que pode consumir muito tempo e atrair atenção negativa.

Como protejo minha organização contra ataques de phishing?

Felizmente, a maioria dos tipos de phishing pode ser detida se você tomar as devidas precauções. Isso significa:

• Usar contramedidas eficazes de segurança cibernética. As soluções modernas de antivírus e antiphishing, juntamente com filtros de spam eficazes, podem filtrar muitas tentativas de phishing.
• Manter os sistemas operacionais e navegadores atualizados. Os provedores de software abordam com frequência as vulnerabilidades recém-descobertas em seus produtos. Sem essas atualizações, seu sistema ficará exposto.
• Proteger os dados com backups automáticos. Implemente um processo regular de backup de dados do sistema para que seja possível recuperá-los caso haja uma violação.
• Usar autenticação multifator avançada (MFA). Estratégias zero trust, como MFA, criam camadas adicionais de defesa entre invasores e seus sistemas internos.
• Garantir que seus usuários sejam instruídos. Os criminosos cibernéticos inventam constantemente novas estratégias, e as ferramentas de segurança de e-mail não detectam tudo. Seus usuários e sua organização em geral ficarão mais seguros se todos os usuários souberem como identificar mensagens de e-mail suspeitas e denunciar tentativas de phishing.

Quais são os sinais de phishing?

Quando se trata de phishing, os usuários mais seguros são aqueles que sabem como evitar ser fisgados. Embora um breve resumo não substitua um treinamento de conscientização focado em segurança, esses são alguns sinais de alerta importantes sobre as tentativas de phishing:

• Discrepâncias nos nomes de domínio: endereços de e-mail e domínios da web podem ter inconsistências. Por exemplo, você recebe um e-mail afirmando ser de uma marca famosa, mas o endereço de e-mail não corresponde.
• Erros de ortografia: embora os ataques de phishing tenham se tornado muito mais eficazes, geralmente as mensagens ainda contêm erros ortográficos ou gramaticais.
• Saudações não comuns: às vezes, o estilo de uma saudação ou assinatura pode indicar que algo não está certo. Observe se alguém que sempre inicia as mensagens com “Oi!” de repente usa “Querido amigo” em vez disso.
• Conciso e cortês: e-mails de phishing geralmente contêm poucas informações e utilizam a ambiguidade para confundir as vítimas. Se muitos detalhes importantes estiverem ausentes, isso pode ser sinal de uma tentativa de phishing.
• Solicitações incomuns: um e-mail solicitando que você faça algo incomum, principalmente se não houver explicação, é um forte sinal vermelho. Por exemplo, uma tentativa de phishing pode afirmar ser da sua equipe de TI e solicitar que você baixe um arquivo sem especificar o motivo.

Phishing e trabalho remoto

Em uma pesquisa de 2021 feita com líderes de segurança de TI corporativa, 80% deles acreditam que os trabalhadores remotos correm maior risco de serem vítimas de ataques de phishing. Mesmo assim, muitas organizações ainda dependem de protocolos de segurança frágeis. Com a expectativa de que a maioria delas continue a permitir o trabalho remoto ou híbrido para pelo menos parte da sua força de trabalho após o fim da pandemia de covid-19, isso pode expô-las a vulnerabilidades.

Os trabalhadores remotos geralmente contam com softwares de segurança menos sofisticados em casa do que no escritório. Eles também podem estar usando e-mails pessoais ou outras contas fora do controle da equipe de TI da empresa. Além disso, como estão longe dos controles internos da empresa, os funcionários remotos nem sempre precisam praticar uma boa higiene de segurança, e pode ser difícil ou praticamente impossível para os gerentes de TI monitorarem ou aplicarem essas práticas.

Para se manter seguro na era do trabalho remoto, você precisa de uma segurança que possa atender às necessidades das suas equipes móveis e distribuídas.

Proteção contra phishing da Zscaler

Por depender da exploração da natureza humana para ser bem-sucedido, o comprometimento do usuário é um dos desafios de segurança mais difíceis de superar. Para detectar violações ativas e minimizar os danos que violações bem-sucedidas possam causar, você precisa implementar controles eficazes de prevenção de phishing como parte de uma estratégia zero trust mais ampla.

A plataforma Zscaler Zero Trust Exchange™, desenvolvida em uma arquitetura zero trust holística para minimizar a superfície de ataque, evitar o comprometimento, eliminar a movimentação lateral e impedir a perda de dados ajuda a bloquear o phishing ao:

• Evitar ataques: recursos como inspeção de TLS/SSL completa, isolamento do navegador e controle de acesso orientado por políticas evitam o acesso de sites mal-intencionados.
• Evitar a movimentação lateral: assim que entra no sistema, o malware pode se espalhar e causar ainda mais danos. Com a Zero Trust Exchange, os usuários se conectam diretamente aos aplicativos, e não à rede, impedindo a propagação de malware.
• Bloquear ameaças internas: nossa arquitetura proxy na nuvem bloqueia as tentativas de exploração de aplicativos e detecta até as técnicas de ataque mais sofisticadas com a inspeção completa integrada.
• Impedir a perda de dados: a Zero Trust Exchange inspeciona os dados em trânsito e em repouso para evitar o possível roubo de dados por um invasor ativo.