Em segundos, clicamos cem, duzentas, trezentas vezes. E com apenas um clique, uma empresa pode sofrer o maior transtorno da sua história.
O que é phishing?
Phishing é originado do termo em inglês fishing, que significa pescando. No léxico computacional, o phishing é como se fosse uma forma de pescaria ilegal que busca na vastidão da web suas vítimas. Essa tática criminosa, que já trouxe problemas para grandes gigantes da tecnologia, utiliza de diferentes artimanhas e abordagens para o roubo de dados.
Para desenhar uma noção na realidade de como esse ataque funciona, o phishing pode ter início como uma inocente notificação na caixa de e-mails do funcionário solicitando uma atualização cadastral. O phishing também pode substituir a figura falsa de uma instituição para vestir a fantasia de uma pessoa física de confiança da vítima. Utilizando de engenharia social, os criminosos persuadem a vítima que de boa-fé pode realizar ações irreversíveis.
Muito temido pelas empresas, o phishing é um dos ataques mais frequentes entre os crimes cibernéticos e também um dos mais perigosos, deixando prejuízos ao financeiro e à reputação. Veja agora como isso acontece.
Os 3 tipos mais comuns de ataque phishing em empresas
Apesar das multifaces, o ataque phishing costuma ter um objetivo em comum: adquirir valor de informações. Esse valor deriva de informações pessoais, como credenciais e arquivos confidencias, ou valor no sentido usual financeiro, como senhas de bancos e de cartões de créditos. Como dito anteriormente, o phishing é uma pescaria e existem diversas formas de fisgar as vítimas, por isso, apresentamos agora os três tipos mais comuns de ataques phishing em empresas:
- Spearphishing
O spearphishing é um crime cibernético planejado. Agora você se pergunta: e não são todos? Bem, em diferentes medidas. O phishing como esmiuçado é uma pescaria. Ao jogar a vara no lago, o pescador não tem expectativas de atingir um peixe específico, mas qualquer um que acabe mordendo a isca. É exatamente isso que diferencia o spearphishing dos outros, já que neste há um alvo certo.
Nesta tática, os criminosos estudam o seu alvo. Planejam formas de abordagens, personalizam suas ferramentas de ataques de acordo com o costume daquela instituição ou pessoa, analisem padrões de comportamento e linguagem, ou seja, vasculham e exploram praticamente cada detalhe da vítima. E depois dessa investigação minuciosa, a engenharia social é posta em ação.
Uma forma famosa de spearphishing é o chamado ‘Fraude do CEO’ (também conhecido como Business Email Compromise ou simplesmente BEC). Nesta fraude, um hacker se passa pelas figuras de maior poder dentro da empresa, como diretores, executivos e até mesmo CEO, e, utilizando de persuasão, o falso CEO atraí clientes, parceiros ou funcionários para a realização de uma ação especifica, na maneira das vezes envolvendo movimentações financeiras.
É um golpe altamente sofisticado, pois requer um estudo aprofundado do personagem fraudado e da vítima. Para convencer, os criminosos constroem o perfil do CEO baseado em pesquisas, principalmente das redes sociais. Com isso, por exemplo, um funcionário que sabe que o seu chefe está fora do país e recebe uma instrução para o envio de logins credenciais no e-mail phishing, pode pensar que está auxiliando o chefe ao acesso remoto das atividades corporativas, quando na verdade está fornecendo informações valiosas aos criminosos.
- Phishing por clonagem
O phishing mais comum: a clonagem de websites. Começa com o envio de um e-mail. Este e-mail não aparenta oferecer nenhum risco, pois, em primeira análise, tem toda a legitimidade de design da instituição que lhe enviou. Geralmente, o conteúdo do e-mail induz o funcionário a fornecer cadastros para um site, por exemplo, com uma urgência de atualização cadastral ou preenchimento de formulários.
A indisponibilidade de tempo para checagem, a prontidão para resolver problemas e o descuido de uma averiguação crítica, resultam no funcionário fornecendo dados sigilosos para o site falsificado, orquestrado e planejado pelos criminosos. E a partir destas informações pessoais, os criminosos podem ser infiltrar no ambiente corporativo com o objetivo de roubar dados e até mesmo paralisar todas as operações.
3.Phishing por ransomware
Também enviado por e-mail, este ataque phishing não direciona a vítima para um website fraudulento, mas sim induz a instalação de um programa falsificado que na verdade é um malware.
Altamente perigoso, nesta tática o hacker não apenas tem acesso às informações sigilosas como um phishing comum, neste cenário possui controle do hardware da vítima, sendo o e-mail fraudulento um primeiro passo para um ataque cibernético ainda maior, que envolve paralisação total do sistema corporativo e pedidos de resgate pelos arquivos roubados.
Como se proteger de um ataque phishing
A vulnerabilidade humana e tecnológica é explorada em um ataque phishing, por isso, é preciso estabelecer estratégias de treinamento da equipe junto a soluções tecnológicas.
Como vimos, o ataque phishing tem múltiplas formas, e toda a proteção deve começar com o alvo primário do ataque: o ser humano. É fundamental treinamento de toda equipe para reconhecer e lidar com um ataque phishing, seja o recebimento de um e-mail solicitando renovação no cadastro ou uma mensagem desesperada do diretor-executivo da empresa. As soluções tecnológicas são essenciais para fortalecer e auxiliar a segurança digital da empresa. O pacote básico é: antivírus e firewalls atualizados. Softwares de proteção de e-mails também são ferramentas que colaboram para alertas de fraudes, pois são escudos no ambiente de ataque favorito dos hackers.
É preciso que a equipe esteja sincronizada e alerta para as abordagens de ataques, pois uma simples desconfiança pode definir o futuro das operações da empresa. Esse treinamento pode ser por meio de palestras, cursos e, principalmente, testes. Os testes phishing são ataques phishings falsos para analisar o comportamento dos funcionários diante um cenário de ameaça e devem ser feitos ciclicamente para não perderem a qualidade de identificação e defesa.
Qual é a sua proteção?
Não coloque em risco o futuro da sua organização. Estabeleça estratégias seguras e inteligentes para se proteger contra ataques cibernéticos. Saiba mais sobre como fazer isso em nosso Instagram e LinkedIn.
