A seguir, confira um artigo completo sobre o que é Phishing, como funciona um ataque de Phishing e qual o seu real significado.
O que significa phishing?
Phishing é uma exploração de segurança na qual um criminoso se passa por uma empresa legítima ou pessoa respeitável para obter informações privadas e confidenciais, como números de cartão de crédito, números de identificação pessoal (PINs) e senhas.
O phishing depende de engano técnico, bem como de táticas de engenharia social projetadas para manipular a vítima para que ela tome uma ação específica em nome do invasor.
Como por exemplo, clicar em um link malicioso, baixar e/ou abrir um anexo de e-mail malicioso ou divulgar informações que o invasor pode usar em um ataque futuro.
De acordo com um projeto conjunto executado pela United States Cybersecurity and Infrastructure Security Agency (CISA), 90% de todos os ataques cibernéticos começam com phishing.
Uma das principais razões por trás da prevalência de ataques de phishing é a versatilidade do vetor de ataque e o alto retorno sobre o investimento para os criminosos cibernéticos.
Para mitigar os riscos associados ao phishing, indivíduos e organizações precisam priorizar a educação de conscientização sobre phishing.
Assim sendo, implementar filtragem de e-mail robusta, considerar o uso de serviços de nuvem antiphishing e seguir as práticas recomendadas para comportamento online seguro.
Como funciona o phishing: indicadores de ataque de phishing
Em uma tentativa bem-sucedida de phishing, um dos principais objetivos do golpista é ganhar a confiança da vítima.
Para conseguir isso, os golpistas usam táticas técnicas e psicológicas para fazer a comunicação com vítimas em potencial parecer credível e legítima.
Para se proteger contra golpes de phishing, é importante que os indivíduos conheçam os indicadores de um ataque de phishing em e-mails, mensagens de voz e texto.
É importante ter cuidado com mensagens que pedem dados pessoais, como credenciais de login, números de cartão de crédito ou números de previdência social.
Um dos maiores sinais reveladores é que a comunicação não é solicitada e solicita informações confidenciais ou pede que a vítima verifique informações confidenciais.
Organizações legítimas normalmente não fazem tais solicitações por e-mail, mensagens de texto ou voz.
Se as informações de contato do remetente não correspondem precisamente ao que seria esperado da fonte legítima, esse é outro sinal de que a comunicação não solicitada também pode ser uma tentativa de phishing.
Os phishers geralmente usam endereços de e-mail enganosos que lembram muito entidades legítimas e números de telefone que não correspondem ao código de área da entidade legítima.
Alguns phishers, no entanto, usam contas de e-mail legítimas comprometidas ou números de telefone para conduzir seus ataques.
Isso pode dificultar a detecção de discrepâncias nas informações de contato.
É por isso que outros fatores, como o conteúdo da mensagem, a aparência e o contexto geral da solicitação, também devem ser levados em conta ao avaliar a autenticidade de uma comunicação.
Qualquer comunicação não solicitada que solicite a verificação de informações sensíveis deve ser considerada uma possível tentativa de phishing.
Tipos e exemplos de explorações de phishing
Os exploits de phishing podem ser adaptados para atender às necessidades de diferentes tipos de alvos e objetivos de ataque.
É essa versatilidade que permite que os criminosos cibernéticos escolham o meio de comunicação que se adapta ao seu público-alvo e objetivos.
E assim, lancem uma rede ampla projetada para aumentar a chance de encontrar um alvo vulnerável, ou uma rede estreita projetada para capturar uma vítima específica.
Phishing por e-mail
Este é o tipo mais comum de ataque de phishing. O invasor envia um e-mail que parece ser de uma fonte legítima, como um banco, empresa de cartão de crédito ou agência governamental.
O e-mail geralmente contém um link que, quando clicado, leva a vítima a um site falso que se parece com o site real.
Depois que a vítima insere suas credenciais de login ou outras informações confidenciais no site falso, os golpistas podem roubá-las.
Os chatbots que usam IA generativa tornaram mais fácil do que nunca para os phishers criarem comunicações por e-mail que parecem ser de uma fonte legítima.
Aqui estão alguns exemplos de golpes de phishing por e-mail:
Este é um tipo mais direcionado de ataque de phishing, no qual o invasor cria uma comunicação que é especificamente adaptada à vítima. Por exemplo, o e-mail do invasor pode ser sobre um tópico no qual a vítima demonstrou interesse anterior porque é relevante para seu trabalho. Quando inteligência artificial (IA) e aprendizado de máquina (ML) são usados para personalização, o e-mail tem mais probabilidade de ser aberto, e a vítima tem mais probabilidade de cair no golpe. Aqui estão alguns exemplos de golpes de spear phishing: Esse tipo de ataque de spear phishing busca explorar um “peixe muito grande”, como o diretor financeiro (CFO) de uma grande empresa ou outro executivo de nível C. Aqui estão alguns exemplos de golpes de whaling: Este tipo de exploração de phishing usa mensagens de texto SMS para se comunicar com o alvo. As mensagens de texto geralmente contêm um link que, quando clicado, leva a vítima a um site falso ou pede que ela forneça informações confidenciais. Aqui estão alguns exemplos de golpes de smishing: Esse tipo de exploração de phishing é conduzida por telefone. O invasor usa sua própria voz, ou uma voz gerada por IA, para se passar por um representante de uma empresa ou organização legítima. Aqui estão alguns exemplos de golpes de vishing: Este tipo de golpe tem como alvo investidores e comerciantes de criptomoedas. Os golpistas enviam e-mails ou mensagens que parecem ser de uma fonte legítima, como uma exchange de criptomoedas ou provedor de carteira. Os e-mails ou mensagens geralmente contêm um link que, quando clicado, leva a vítima a um site falso que se parece com o site real. Quando a vítima insere suas credenciais de login ou outras informações confidenciais no site falso, os golpistas podem roubar as informações. Aqui estão alguns exemplos de golpes de phishing de criptomoedas: Esse tipo de golpe de phishing tem como alvo sites que profissionais de um setor ou segmento de mercado específico provavelmente visitarão. Aqui estão alguns exemplos de watering hole: Este tipo de ataque de phishing coloca anúncios maliciosos em sites legítimos. Quando as vítimas clicam nos anúncios, elas são levadas para um site falso que as infectará com malware. Aqui estão alguns exemplos de golpes de malvertising: Este tipo de ataque de phishing usa sites populares de mídia social como Facebook e TikTok como vetor de ataque. O invasor cria contas falsas de mídia social para interagir com usuários reais em plataformas de mídia social e ganhar sua confiança. Eventualmente, o invasor enviará uma mensagem direta (DM) ou postará algo no site que contém um link para um site de phishing. Exemplos de angler phishing incluem: Estratégias de phishing para fazer com que uma vítima execute uma ação específica em nome do invasor frequentemente exploram a psicologia humana. Ao se disfarçar como entidades confiáveis, criando um senso de urgência ou apelando ao desejo das vítimas de ajudar ou fazer parte de um grupo, um invasor pode provocar respostas impulsivas. Embora táticas técnicas como spoofing de e-mail, imitação de domínio ou entrega de malware sejam componentes críticos, é a manipulação psicológica que frequentemente determina o sucesso. Ironicamente, a maioria das estratégias que os phishers usam são técnicas de marketing bem conhecidas. As estratégias psicológicas usadas para realizar ataques bem-sucedidos incluem: As estratégias psicológicas acima, quando combinadas com as táticas técnicas abaixo, são o que tornam os ataques de phishing tão altamente eficazes. Quando os destinatários agem em gatilhos psicológicos, eles geralmente são vítimas das armadilhas técnicas escondidas em e-mails de phishing, chamadas telefônicas de vishing e mensagens de texto SMS. (Nota do editor: invasores que não têm as habilidades técnicas necessárias para realizar um ataque podem comprar kits de phishing na dark web.) As táticas técnicas comumente usadas em ataques de phishing incluem: Com as informações sensíveis obtidas de um golpe de phishing bem-sucedido, os criminosos podem causar danos aos históricos financeiros, reputações pessoais e reputações profissionais de suas vítimas, o que pode levar anos para ser desvendado. A combinação de elementos psicológicos e técnicos em ataques de phishing amplifica sua eficácia e ressalta a importância da educação em segurança cibernética e de defesas robustas para combater essas ameaças. As seguintes precauções de segurança são recomendadas para evitar que ataques de phishing sejam bem-sucedidos: Se aplicável, peça à equipe de Tecnologia da Informação e Comunicação (TIC) para: O software antiphishing pode ser pensado como um kit de ferramentas de segurança cibernética que emprega uma ampla gama de técnicas para identificar e neutralizar ameaças de phishing. Aqui estão alguns recursos e funções principais dos pacotes de software antiphishing: Embora o software antiphishing e os serviços de nuvem antiphishing sejam armas formidáveis contra criminosos cibernéticos, é crucial lembrar que a vigilância humana continua sendo um componente crítico da segurança cibernética eficaz. Nenhum software pode substituir a necessidade de os indivíduos serem cautelosos, céticos e bem informados sobre ameaças de phishing. O treinamento de conscientização sobre segurança deve andar de mãos dadas com soluções antiphishing para criar uma postura de defesa robusta.
Spear Phishing
Whaling
Smishing
Vishing
Cripto Phishing
Ataques de Watering Hole
Malvertisements
Angler Phishing
Estratégias psicológicas usadas em phishing
Técnicas técnicas usadas em phishing
Como prevenir ataques de phishing
Software antiphishing