Tudo o que você precisa saber sobre: PHISHING

1 - VISÃO GERAL

O termo phishing tem origem na palavra em inglês fishing, que significa pesca. O termo traduz muito bem o conceito desse tipo de ameaça digital: a tentativa de “pescar” dados pessoais da vítima. Sejam eles senhas, números de documento ou cartões de crédito, endereços etc.O objetivo final do fraudador é utilizar os dados da vítima para obter vantagens financeiras com a transferência eletrônica de valores, realizar compras utilizando os dados do cartão de crédito em lojas online ou até mesmo contratar serviços como planos de telefonia celular, televisão por assinatura e serviços de streaming. Normalmente, o usuário só descobre que foi vítima do ataque quando já é tardedemais, quando percebe que algum valor foi subtraído de sua contabancária ou quando não reconhece os débitos na fatura do cartão decrédito.Apesar deste tipo de ameaça existir há mais de duas décadas, quatroem cada 10 usuários ainda não conseguem identificar uma mensagemfalsa ou têm de adivinhar se o conteúdo é real ou malicioso. Usandoengenharia social cada vez mais sofisticada os cibercriminososcontinuam a obter êxito nos ataques, tanto contra usuários individuaisquanto contra empresas.

we secure your business

Whitepaper

01Tudo o que você precisa sobre: Phishing

2 - OS TIPOS DE PHISHING

O phishing pode ser classificado pelo volume de mensagens enviadas, técnicas de disfarce utilizadas e até direcionamento do ataque. O tipo mais tradicional de ataque é caracterizado pelo envio em massa de mensagens para endereços de e-mail obtidos em vazamentos de dados ou comprados na web. Não é difícil encontrar kits de phishing (que incluem o disparo do e-mail) por cerca de R$ 40,00. No entanto, para obter maiores ganhos e efetividade, os cibercriminosos passaram a estudar suas vítimas, seu círculo social e comportamentos, criando outros tipos de phishing.

• Spear Phishing - Algo como "pesca com lança", ou seja, um tipo mais específico de phishing que é direcionado para um grupo selecionado de usuários ou departamentos em empresas. Nesse tipo de ataque, o criminoso estuda muito bem o grupo de usuários que será atacado, entendendo seu comportamento online, pessoas do círculo profissional e perfis de redes sociais, em um processo chamado engenharia social. A mensagem falsa utiliza recursos gráficos e de conteúdo que aumentam sua relevância e credibilidade.

• Smishing - É a abreviação de SMS Phishing, uma variante da ameaça que utiliza mensagens de SMS para encaminhar URLs (endereços virtuais) falsos para o usuário. Com o uso cada vez maior de dispositivos inteligentes, a vítima pode clicar no URL falso e ser direcionada ao site de coleta de dados e ter sua identidade roubada, tudo na palma da mão.

• Vishing - Abreviação para Voice Phishing em que a vítima é levada a fazer uma ligação para o criminoso que pode simular, por exemplo, uma central de atendimento ao cliente e ter acesso aos dados da vítima via telefone.

02Tudo o que você precisa sobre: Phishing

3 - OS ARGUMENTOS

Para ter sucesso, os ataques de phishing devem convencer o usuário de que são comunicações reais, devem incitar o clique e levar ao compartilhamento de dados e nas páginas web maliciosas. Para isso, essas mensagens são criadas com os mais variados argumentos:

• A manobra do governo - Esse tipo de mensagem tenta parecer com alguma comunicação originada em um órgão oficial do governo, tipicamente citando algum documento expirado, multas ou outro prejuízo ao cidadão.

Mensagem falsa de cancelamento do título de eleitor

Fonte: Portal G1

Para obter maiores ganhos, os cibercriminosos passaram a estudar suas vítimas, seu círculo social e comportamentos.

03Tudo o que você precisa sobre: Phishing

• O amigo em perigo - O criminoso tenta coibir a vítima a enviar recursos financeiros passando por um familiar, amigo ou conhecido. Os dados da vítima e outros detalhes do relacionamento são conseguidos durante a fase de engenharia social do ataque, por meio de perfis nas redes sociais.

• A conta com problema - Nesse tipo de phishing, a vítima recebe uma comunicação de que há algum problema com seu cadastro em redes sociais, fóruns ou outro serviço online. A mensagem frisa sempre a importância de se realizar uma checagem de segurança ou troca de senha. Ao clicar no link, o usuário é levado para um site malicioso que sequestra suas informações.

• Meu banco amigável - O Brasil é um dos países com maior uso de internet banking em todo o mundo e, como não poderia deixar de ser, esse canal é sempre alvo de tentativas de phishing. A mensagem falsa cita sempre uma falha de segurança ou necessidade de revalidação de tokens, também pode citar uma operação financeira suspeita que precisa da confirmação dos dados da vítima.

• A vantagem incrível - Pode ser um sorteio em que a vítima foi premiada, a possibilidade de usar um app gratuitamente ou a oferta de descontos imperdíveis. Nessa tática de ataque, o criminoso visa fazer com que o usuário forneça dados para comprar o produto ou receber a vantagem prometida, o que nunca acontece.

Mensagem falsa de cancelamento de conta do Facebook

Fonte: Portal Linha Defensiva

Mensagem falsa de suspeitas na conta bancária

Fonte: Portal G1

Mensagem falsa promocional

Fonte: Portal Baboo.com.br

04Tudo o que você precisa sobre: Phishing

AMÉRICA DO NORTE1450 Brickell Avenue14th floor - MiamiFL 33131 - USA+1 305 373 4660

AMÉRICA LATINAR. Alexandre Dumas 16582º andar - São PauloSP 04717-004 - BR+55 11 4501 6600

EUROPA2 Kingdom Street6th floor - PaddingtonLondon W2 6JP - UK+44 203 580 4320

www.cipher.com.br

Se você está entre as pessoas que não sabe como identificar uma mensagem de phishing, não se preocupe, aqui estão algumas dicas importantes para não cair nessa rede maliciosa.

COMO NÃO SER FISGADO?

Não confie no nome do remetente Preste atenção em erros no texto

Uma das técnicas preferidas dos criminosos em ataques do tipo phishing é utilizar um nome de remetente falso. Ou seja, uma mensagem que pode chegar com o nome do seu banco no campo "De:", mas na realidade o endereço de e-mail utilizado não é o da instituição financeira. Há casos em que a mensagem traz um domínio parecido com o do site que tenta imitar, com apenas algumas letras diferentes ou um sufixo diferente de .com.br comumente usado no país. Cheque sempre o endereço real do remetente, não confie no nome mostrado no e-mail.

Olhe mas não clique

Passe o mouse sobre qualquer um dos links que esteja no corpo do e-mail. Se o link parecer esquisito, não clique nele. Outra boa dica é digitar o URL diretamente na janela do browser ao invés de clicar na mensagem suspeita. É possível que na tela você veja um endereço, mas que o link seja outro.

Gerentes de comunicação das marcas - normalmente as pessoas quem responde pelo envio de e-mail - prestam muita atenção nas mensagens enviadas aos clientes. Um e-mail legítimo não terá erros de ortografia ou gramática.

Analise como a mensagem se dirige à você

E-mails legítimos de empresas sérias não de dirigem aos clientes com um "Prezado Cliente" na saudação, normalmente as mensagens carregam o nome do cliente e outro dado de identificação.

Não forneça informações pessoais

Empresas, bancos e administradoras de cartão de crédito quase nunca pedem por informação pessoal utilizando e-mails. Não os forneça.

Desconfie de assuntos muitos urgentes ouem tom de ameaça

Usar palavras que dão senso de urgência à mensagem para aumentar sua relevância é uma tática comum de phishing. Desconfie de assuntos como "sua conta foi suspensa" ou "um acesso não permitido foi realizado".

Não abra anexos

Uma das táticas mais comuns em e-mails phishing é incluir anexos maliciosos e malware. Esses arquivos podem danificar seu computador, roubar suas senhas e identidade digital, espiar suas ações, sua câmera e microfone. Não abra nenhum anexo que você não esteja esperando.

Não confie na imagem no topo do e-mail

Criminosos utilizam logotipos, cores e slogans das marcas de maneira cada vez mais crível. Não pense que uma mensagem bem desenhada, com elementos gráficos, fontes e cores alinhados à comunicação da marca atesta sua validade.

Reveja a assinatura do e-mail

A falta de detalhes de contato sobre o remetente ou uma pessoa que possa ser contatada na empresa que enviou a mensagem é um forte indicativo de phishing.