Phishing, Smishing e Vishing: o que são essas ameaças
Phishing, Smishing, e Vishing. Nomes estranhos, mas que estão no dia a dia do ambiente virtual. Você certamente conhece alguém que abriu um e-mail suspeito (ou um link em uma mensagem de um conhecido no WhatsApp) e caiu em um golpe. Esse alguém pode ter sido você mesmo.
Não se culpe, é mais comum do que se imagina cibercriminosos se passarem por pessoas de confiança para extrair dados e dinheiro de suas vítimas.
Informações apresentadas na 12ª Conferência Latinoamericana de Cibersegurança, realizada na República Dominicana em novembro de 2022, corroboram esse fato:
No Brasil, os golpes de phishing cresceram 12% e chegaram a 21,8 milhões até agosto de 2022. No ranking mundial, ocupamos a 6ª posição.
No top 3 de categorias de ataque mais usadas em 2022 estão bancos (27%), redes sociais (22%) e serviços web (18%).
Em um dos modos de atuação, para atrair a atenção da vítima, os cibercriminosos oferecem benefícios, como promoções, brindes, downloads e mais, de temas populares e em alta no noticiário.
É importante ressaltar que existem 19 tipos de ataques phishing, mas são três as principais formas de tentar convencer você a entregar dados de contas, cartão de crédito e documentos nas empresas, funcionários da alta gerência e cargos estratégicos são cada vez mais visados:
Phishing, Smishing e Vishing
Muitas mensagens são fáceis de identificar como falsas, mas às vezes é difícil saber quem é quem? E qual é a diferença entre esses ataques?
Continue lendo e entenda!
O que é Phishing?
O termo tem origem na palavra fishing (do inglês: pescaria), e foi criado em meados de 1996 por cibercriminosos que praticavam roubo de contas da AOL (America Online). Um ano depois, em 1997, phishing passou a ser citado na mídia e se tornou cada vez mais popular.
Naquela época, as contas hackeadas já podiam ser utilizadas como moeda de troca no mundo hacker. Trocas como 10 phishs (contas hackeadas) por uma parte de um programa malicioso aconteciam com frequência no universo dos cibercriminosos. Hoje, o Phishing desenvolveu-se e tornou-se muito mais poderoso e obscuro do que antigamente.
Com quase 30 anos de existência, este crime consiste em enganar as pessoas, por envio de mensagens falsas enviadas por cibercriminosos — que se passam por empresas ou pessoas confiáveis. Eles lançam a isca e, frequentemente, as vítimas são fisgadas e acabam compartilhando informações confidenciais como senhas e número de cartões de crédito.
Já recebeu um e-mail urgentíssimo do banco avisando que a sua conta seria bloqueada? Ou uma oferta de uma empresa conhecida que você só tinha algumas horas para aproveitar? Se já recebeu alguma mensagem pedindo que agisse rapidamente, você provavelmente já sabe o que é Phishing.
Como o ataque acontece
Semelhante a uma pescaria real, há mais de uma maneira de fisgar a vítima, mas uma tática de phishing, em especial, é a mais comum: através do e-mail.
Algumas vezes, os cibercriminosos usam domínios parecidos com os e-mails verdadeiros ou até mesmo domínios comuns, como Hotmail. Eles conseguem alterar o remetente se fazendo passar por pessoas ou organizações em quem a futura vítima confia, como um banco, um órgão governamental ou até mesmo um familiar ou colega de trabalho.
Se algum conhecido seu foi vítima de um ataque de phishing, os criminosos podem ter acesso à conta dessa pessoa e disparar e-mails se passando por ela ou ele.
O que os ataques geralmente têm em comum é o tom alarmante. Títulos como “sua conta bancária foi bloqueada” ou “sua conta de e-mail será excluída em breve” são usados para atrair a atenção e fazer a vítima agir sem pensar.
Quando a vítima abre o e-mail ou o texto, encontra uma mensagem assustadora que induz a deixar o bom senso de lado, e exige que a vítima acesse um website e execute uma ação imediata ou assuma um risco por algum tipo de consequência.
Ao “morder a isca” e clicar no link inserido na mensagem, a pessoa abre a porta para que os cibercriminosos enviem uma imitação de um website legítimo. A partir daí, eles pedem para fazer o login com nome de usuário e senha.
Se quem estiver sob ataque for ingênuo o bastante para obedecer este pedido, e disponibilizar seus dados, as informações de acesso são enviadas aos criminosos, que as usam para roubar identidades, contas bancárias e vender os dados.
Mas esse tipo de ciberataque não fica restrito às pessoas físicas. Segundo um relatório recente divulgado pela Fortinet, 22% das violações foram causadas por ações sociais ou ações em que a intenção era atuar sobre o comportamento do usuário ou funcionário. 96% dessas ações sociais foram entregues por e-mail, com 90% delas classificadas como phishing.
Mais preocupante ainda, 62% do que os autores de ameaças obtiveram através de seus esforços de phishing bem-sucedidos foram credenciais de login.
Ou seja, não só você, como todos os colaboradores da sua empresa devem ir além do “saber identificar um Phishing”. Se quer evitar prejuízos é melhor saber exatamente o que fazer para ficar longe dele.
Como se prevenir
Uma excelente maneira de se manter livre deste tipo de cibercrime é estar sempre alerta, e instruir todos os colaboradores da sua equipe contra esse tipo de ameaça virtual.
As principais orientações dos nossos especialistas são:
- Verifique sempre o endereço de e-mail do remetente;
- Observe as informações de contato e assinatura do e-mail;
- Não clique em links, exceto quanto tiver certeza de que o remetente é confiável;
- Não baixe anexos sem antes fazer a verificação com o seu antivírus (que precisa estar em dia);
- Se receber algum pedido incomum para transferir arquivos (ou dinheiro) vindo de um conhecido, gestor ou colega de trabalho, confirme com a pessoa se a requisição é verdadeira;
- Nunca escreva seus dados e senhas de acesso em formulários ou páginas enviadas por e-mail.
O que é Smishing?
Smishing é um tipo de Phishing realizado por SMS e mensagens de texto enviadas para o celular. Geralmente, essas mensagens pedem para que você clique em um link e preencha um formulário ou responda à mensagem. Podem falar, por exemplo, sobre uma necessidade de atualização de cadastro ou a oportunidade de resgatar um prêmio imperdível.
Outra definição comum de smishing é um ataque que aproveita a confiança para fazer com que as pessoas divulguem dados confidenciais. Algumas pessoas são mais propensas a fornecer informações pessoais por mensagem de texto do que por e-mail ou outra forma de comunicação. Cibercriminosos conhecidos como “Smishermen” abusam dessa confiança e muitas vezes conseguem roubar dados altamente valiosos.
Como o ataque acontece
Muitas vezes, esses “textos” são, na verdade, e-mails enviados para o seu celular. Para começo de conversa, o invasor não tem o seu número de telefone. Um texto smishing também pode conter um link para um site que pareça legítimo.
A armadilha é que, ao clicar ou responder a essa mensagem de texto, a vítima é direcionada a sites maliciosos, onde, uma vez que digita seus dados, os entrega inadvertidamente nas mãos dos criminosos.
Os alvos deste tipo de ciberataque são informações pessoais, como endereço ou CPF, dados de cartão de crédito e senhas de acesso ao banco, redes sociais e e-mails. Essas informações podem tanto ser usadas pelos smisherman, quanto vendidas para alguém que procura abusar de seus dados (e das suas credenciais dentro de uma empresa).
Os ataques de smishing geralmente funcionam combinando duas ou mais etapas, com o objetivo final de roubar suas informações.
O primeiro passo é fazer com que você se sinta obrigado a agir. Isso pode ser por motivos legais, para ganhar dinheiro ou para “economizar” dinheiro que você não deseja que seja roubado. A segunda etapa é levá-lo a um site de aparência legítima, projetado para parecer quase idêntico ao tipo de site que você espera ver.
Por exemplo, se for um site do governo, terá o brasão ou insígnia apropriado que corresponde à agência à qual você espera que o site pertença. Se for uma instituição financeira, o site pode ter fontes, logotipos e as cores que você normalmente verá em um site administrado por essa instituição.
A etapa final é fazer com que você insira suas informações pessoais. A solicitação pode ser algo tão direto quanto solicitar que você insira o nome da sua conta e a senha. Depois de fornecer as informações e enviá-las, o ataque será bem-sucedido.
Apesar dessas características de ataque, o cibercriminoso não precisa necessariamente fazer login em uma instituição financeira específica para lucrar com as suas informações pessoais.
Muita gente tende a reutilizar nomes de usuário e senhas com dados pessoais em várias contas. Por exemplo, o endereço de e-mail pode ser o nome de usuário e, embora a senha não seja fácil de adivinhar, eles podem usar a mesma repetidamente. Portanto, um smisherman só precisa pegar sua senha uma vez para acessar vários outros sites e serviços.
Smishing também pode ser executado usando menos etapas. Por exemplo, o texto original pode conter um link que, uma vez tocado, baixa um malware que pode ser usado para roubar suas informações.
Como se prevenir
Uma das ferramentas mais eficazes para ajudar as pessoas da sua empresa a evitar ataques smishing é a conscientização. Os cibercriminosos podem usar vários métodos para enganar suas vítimas, mas muitos dos ataques têm assinaturas semelhantes.
Certificar-se de que todos os colaboradores e executivos saibam como são os diferentes tipos de ataques smishing pode preparar seus times para detectar e até mesmo deter essas ameaças.
Aqui estão algumas orientações da Alleasy, que você pode fazer aí no seu negócio para evitar ataques smishing:
- Qualquer coisa que exija que você aja rapidamente ou com senso de urgência deve ser questionada;
- Nunca clique em links embutidos em mensagens de texto;
- Verifique o número que envia uma mensagem solicitando informações ou clicando em um link dentro dela. Se parecer suspeito, é possivelmente um ataque smishing;
- Nunca mantenha suas informações bancárias ou de cartão de crédito em seu telefone. Malware pode ser usado para acessar esses dados direto do seu aparelho;
- Se você não sabe ou não tem certeza de quem está enviando a mensagem, não responda, e nem clique em nada dentro dela;
- Não responda a solicitações de alteração ou atualização de informações da conta por mensagem de texto;
- Para evitar ser a próxima vítima do Smishing, jamais clique em links enviados por SMS e nunca forneça seus dados em formulários ou sites desconhecidos.
Outra orientação importante é: sempre que for realizar compras ou transações que demandam a digitação dos seus dados, verifique se a URL começa com https (protocolo de segurança) em vez de http.
O que é Vishing?
Este é o terceiro tipo de ataque, realizado por meio de chamadas telefônicas (o termo significa Voice Phishing). Usando técnicas de engenharia social, os cibercriminosos buscam convencer as vítimas a entregar seus dados voluntariamente via ligação.
Como o ataque acontece
As chamadas podem ser feitas diretamente por uma pessoa, ou utilizando gravações, ou vozes automatizadas. É comum que o criminoso finja que precisa confirmar dados pessoais para atualizar o cadastro no banco, autorizar uma compra no cartão de crédito ou ceder algum crédito. Se a pessoa acredita e fornece os dados… o estrago está feito!
Como se prevenir
O óbvio ainda precisa ser dito: Não forneça dados pessoais por telefone em hipótese alguma. Se você realmente tem alguma compra pendente, pode telefonar para a central do banco cujo número oficial está geralmente escrito no verso do seu cartão de crédito.
Não ligue de volta para os números informados pela pessoa que te ligou, porque provavelmente eles também fazem parte do golpe Vishing.
Quais tecnologias podem ajudar a prevenir esses ataques?
Além das ações individuais preventivas, o ideal é certificar-se de que todos os colaboradores da sua empresa têm plena consciência sobre estes ataques, os riscos aos quais eles podem se expor caso não estejam atentos e sobre o que significa (não só financeiramente) para a empresa ter sua segurança comprometida.
Porém, é claro que os gestores do seu negócio não devem confiar apenas nas boas práticas por parte dos usuários. Softwares antivírus, firewall, proteção de e-mails são alguns exemplos que a sua empresa deve adotar.
Fale com os especialistas da Alleasy e descubra hoje mesmo quais as soluções mais adequadas às suas necessidades de segurança da informação.
