main image

Todo mundo que conhece um pouquinho mais sobre cibersegurança sabe que o phishing é uma das principais ameaças na internet. Como o nome sugere, o phishing é um tipo de golpe que tenta “pescar” informações e dados tentando enganar a vítima com e-mails, mensagens, sites e até ligações falsas. É por isso que é preciso ter cuidado com mensagens e e-mails que exigem o pagamento de contas e a atualização de informações.

O phishing por si só já é perigoso. Mas quando ele é associado à engenharia social se torna ainda mais devastador. A engenharia social é uma tática que permite ao cibercriminoso utilizar informações da vítima contra ela própria. Basicamente, o invasor vasculha a internet, incluindo redes sociais como Facebook, Linkedin e Twitter, em busca de informações para que o golpe tenha mais chances de sucesso.

Da aliança entre o phishing e a engenharia social nasceu o spear phishing. Ao contrário do phishing que se trata de um ataque em massa, o spear phishing é um golpe direcionado, com foco específico em uma pessoa, um grupo ou até mesmo uma empresa. Neste sentido, a engenharia social potencializa o ataque do invasor, permitindo que ele manipule as vítimas com mais facilidade.

Sabemos que nem sempre é fácil reconhecer um ataque. Mas a educação sobre ameaças (a chamada security awareness ou consciencização em segurança) ainda é uma das formas mais eficazes de defesa. Quanto mais conhecimento, melhor. Seguindo essa ideia, criamos uma lista dos 5 tipos mais comuns de iscas que os phishers usam em e-mails e mensagens para te atrair.

5 iscas usadas pelos phishers para pegar você

1. Spoofing de e-mail

spoofing de e-mail acontece quando o cibercriminoso usa uma conta de e-mail hackeada ou um endereço de e-mail similar ao original para enganar as suas vítimas. Imagine que um funcionário tenha a conta de e-mail comprometida e agora o invasor está enviando e-mails para parceiros solicitando o pagamento de faturas falsas.

2. Spoofing de site

O spoofing de site é muito utilizado em golpes de phishing e de spear phishing. Ele acontece quando o criminoso cria sites fakes com o objetivo de ganhar a confiança das vítimas para roubar dados e informações importantes. O spoofing de site costuma estar vinculado ao spoofing de e-mail, já que muitos criminosos enviam e-mails com links para sites falsos.

3. Links e anexos maliciosos

Duas iscas muito utilizadas por golpes de phishing e de spear phishing são anexos e links maliciosos. No caso do vazamento de dados da Sony Pictures, em 2014, tudo indica que os hackers tiverem acesso ao sistema da empresa usando links maliciosos e e-mails que aparentemente seriam da Apple. Mas não eram.

4. Assuntos urgentes e iscas de textos

Os assuntos urgentes e os textos bem elaborados são outras iscas muito utilizadas pelos phishers. No caso das fraudes chamadas de príncipe nigeriano, por exemplo, o fraudador conta uma história convincente mas que, no fim, é falsa e vai terminar com você tendo prejuízo financeiro. No caso de fraudes envolvendo o nome de bancos, você pode receber um e-mail com um assunto urgente dizendo que precisa alterar os dados da sua conta por motivos de segurança.

5. Falsificação de identidade

Neste caso de isca, o invasor se aproveita de alguém em quem a vítima confia para aplicar o golpe. Sendo alguém de “confiança”, as chances do golpe darem certo são maiores, certo? Vamos pegar o caso do vazamento de dados da RSA, uma empresa de segurança, em 2011. A empresa foi hackeada porque funcionários interagiram com e-mails de alguém aparentemente próximo. O assunto era algo como “Plano de Recrutamento”.

Conclusão

Lembre-se: os golpistas costumam usar mais do que apenas uma isca. Dependendo do nível de fraude, todas as 5 iscas podem ser usadas, mesmo em momentos diferentes da conversa. Em se tratando de ataques de phishing e de spear phishing, a melhor dica é sempre procurar confirmar uma solicitação suspeita, preferencialmente via telefone ou pessoalmente.

Para quem quer dificultar a ação de cibercriminosos, principalmente no caso de empresas, um Secure Email Gateway (SEG), com antispam, antivírus, antimalware e outros mecanismos de defesa, pode ser um bom começo. Além disso, é preciso investir em conscientização sobre ameaças digitais. Funcionários conscientes e ligados vão diminuir as chances de violações de dados. Como já dissemos, quanto mais conhecimento, melhor.

Fonte: Gatefy