11 de outubro de 2022 - Riscos cibernéticos
Phishing é uma forma de fraude digital em que os cibercriminosos se fazem passar por outra pessoa. Pensa numa autoridade importante ou numa pessoa conhecida. Através de um e-mail, WhatsApp ou SMS com um tom de urgência, é-te pedido que forneças informações, como dados pessoais ou bancários. Como empresário, é natural que não queiras que a tua empresa seja vítima de phishing. É por isso que explicamos abaixo 10 tipos de ataques phishing , juntamente com algumas dicas sobre como evitar estes ataques.
10 tipos de ataques phishing
1. Pulveriza phishing
Com o spray phishing, os cibercriminosos enviam mensagens para um grande número de pessoas numa campanha de spray phishing por defeito. Por vezes, são dez mil mensagens de correio eletrónico ou de texto ao mesmo tempo. Lançam uma rede larga, por assim dizer, na esperança de que algumas pessoas caiam no e-mail. Normalmente, é um e-mail de uma empresa existente que pede para atualizar uma palavra-passe ou para renovar os dados do cartão de crédito.
2. Correio eletrónico phishing
O envio de mensagens de correio eletrónico é uma das formas mais comuns de phishing. Estas mensagens são concebidas para parecerem vir de uma fonte fidedigna. Normalmente, nestas mensagens de correio eletrónico, é-te pedido que preencha um formulário ou que responda à mensagem. É assim que os cibercriminosos obtêm informações pessoais.
Uma forma de e-mail phishing é o clone phishing, em que um e-mail legítimo é copiado e as ligações e ficheiros são substituídos por outros maliciosos. Pode tratar-se, por exemplo, de um ficheiro de faturação, de uma ligação que contém um vírus ou de uma ligação que te envia para um sítio Web para introduzires os teus dados pessoais.
3. Móvel phishing
O phishing móvel é também conhecido como smishing ou SMS phishing. Receberás uma mensagem do criminoso com um apelo para que tomes medidas. Pensa em ligar para um número de telefone ou clicar numa ligação para um sítio Web. Muitas vezes, são-te pedidas informações pessoais, como palavras-passe ou dados do cartão de crédito.
A outra forma de phishing móvel é o telefone phishing ou vishing. Com esta forma de phishing, não receberás uma mensagem, mas serás contactado. Os atacantes fazem-se passar pelo teu banco, pela polícia ou por outras empresas ou agências. Tentam assustar-te para te obrigar a tomar medidas, muitas vezes transferindo dinheiro.
4. Perseguição de ambulâncias
Com estes tipos de ataques phishing , os cibercriminosos aproveitam os acontecimentos actuais. Pensa em pedir donativos para fundos de ajuda, catástrofes naturais ou guerras. Os criminosos podem recolher dados pessoais e tirar dinheiro das vítimas.
5. Conta expirada/alterar a palavra-passe
Receberás uma mensagem por correio eletrónico ou através do teu telemóvel com o pedido de redefinição da tua palavra-passe. Estas mensagens parecem muitas vezes provir de uma fonte fiável e são por vezes difíceis de distinguir das mensagens reais. Por exemplo, considera uma mensagem do teu banco. Se alteraste a palavra-passe através de uma ligação nesse e-mail, o criminoso tem a informação necessária para entrar na tua conta bancária.
6. Caça à baleia phishing
Neste ataque phishing , também conhecido como comprometimento do correio eletrónico empresarial, os cibercriminosos têm como alvo as grandes baleias, ou seja, os empregados com uma posição elevada dentro de uma organização. Muitas vezes, fazem-se passar por um funcionário sénior da organização para tornar credível o acesso a informações financeiras ou a plataformas empresariais.
7. Wifi duplo
Um gémeo WiFi é uma rede WiFi que copia o endereço de outra rede. Qualquer pessoa que se ligue a esta rede fica também exposta aos hackers. Desta forma, obtém acesso a palavras-passe e outras informações. Este tipo de ataque phishing é frequentemente efectuado em áreas públicas, como centros comerciais, cafés e aeroportos. Por isso, nem sempre é boa ideia ligares-te a uma rede Wi-Fi pública.
8. Lança phishing
Spear phishing é um ataque phishing muito pessoal. Isto porque o atacante finge que é uma pessoa que conhece bem o alvo. O alvo é bem pesquisado para isso, pelo que o ataque parece muito pessoal. O objetivo é obter acesso a informações sensíveis para explorar o alvo.
9. Pretexto
Este tipo de ataque phishing é muito eficaz porque dá uma sensação de legitimidade. Inicialmente, as vítimas recebem uma mensagem através de um canal diferente do correio eletrónico, informando-as de que irão receber um e-mail em breve. Por exemplo, faz-se passar por um fornecedor e indica que a vítima receberá em breve um orçamento por correio eletrónico. Este contacto telefónico é, portanto, referido no último e-mail, o que o torna mais fiável.
10. Man-in-the-Middle
Por fim, discutimos uma forma bastante complicada de phishing: man-in-the-middle. O cibercriminoso intercepta as mensagens de correio eletrónico entre duas pessoas. O criminoso envia então esses e-mails de volta para essas duas pessoas, que passam a pensar que os e-mails vieram uma da outra. Assim, aumenta a confiança nos e-mails, o que permite ao criminoso pedir detalhes privados e outras informações.
Dicas para evitar tipos de ataques phishing
1. Formação do pessoal
Se deres formação ao teu pessoal para reconhecer os tipos de phishing e os estímulos psicológicos que são utilizados, podes evitar muitos ataques. Por exemplo, aprendem a verificar os remetentes das mensagens, a nunca clicar simplesmente numa ligação ou num ficheiro e a verificar se uma mensagem tem o endereço phishing. Outras coisas a que os funcionários devem estar atentos incluem:
- A saudação: as mensagens de correio eletrónico phishing não contêm frequentemente dados pessoais suficientes para associar um nome ao endereço. Por conseguinte, as mensagens de correio eletrónico são frequentemente orientadas de forma impessoal.
- Ligações e anexos inesperados: os e-mails Phishing contêm normalmente uma ligação ou um anexo.
- Gramática e ortografia: os e-mails phishing contêm frequentemente erros de linguagem.
- Urgência: certamente em combinação com os outros pontos, dá uma indicação clara de uma mensagem phishing .
2. Não cliques em tudo
Tu e os teus empregados nunca devem clicar em todas as ligações reencaminhadas, mesmo que pareçam vir de uma fonte fiável. Verifica sempre primeiro se a mensagem de correio eletrónico provém efetivamente dessa fonte. Por exemplo, podes navegar manualmente para a ligação introduzindo o endereço Web legítimo no browser. Se a ligação não for visível porque está ligada a parte do texto da mensagem, podes passar o rato por cima da ligação. Desta forma, podes ver se se trata de um endereço Web legítimo.
3. Verifica se há HTTPS
Especialmente quando te pedem para partilhar informações sensíveis, deves verificar se o URL começa com HTTPS em vez de HTTP. O S extra não garante que se trata de um sítio Web seguro, mas está mais bem protegido contra os piratas informáticos do que um sítio HTTP.
4. Utiliza o Guardey
Na Guardey, fazemos tudo o que podemos para garantir que a tua empresa está tão bem protegida quanto possível contra ataques de phishing . Fazemo-lo, entre outras coisas, fornecendo uma ligação VPN empresarial através da nossa aplicação que é continuamente monitorizada. No caso de uma ameaça online, receberás uma mensagem direta. Assim, saberás se existe algum comportamento que não pertence à tua rede. Além disso, na Guardey, acreditamos que é crucial ir mais além. Por isso, a nossa aplicação também oferece formação em cibersegurança para ti e para a tua equipa, através de um jogo interativo.
Experimenta o Guardey agora completamente grátis durante 14 dias. Desta forma, serás o primeiro a saber que há malware no teu computador e poderás tomar imediatamente as medidas adequadas.