O phishing é um cibercrime eficaz e perigoso porque depende da confiança inerente das pessoas na Internet. A ideia de que os criminosos seriam capazes de o enganar para desistir de informações privadas é difícil de acreditar para a maioria das pessoas, o que torna fácil, mesmo para pessoas bem-intencionadas, cair vítima de um ataque de phishing.
Factores chave que tornam a Phishing um cibercrime eficaz e perigoso
O phishing é um cibercrime comum que pode ser facilmente cometido e difícil de detectar. Embora o phishing exista há décadas, é ainda uma grande ameaça tanto para as empresas como para os indivíduos.
- O phishing é um crime cibernético eficaz porque é tão simples. Envia-se um e-mail, ou publica-se algo nas redes sociais, que parece ser de uma empresa ou pessoa legítima. Pede-lhe para entrar na sua conta e alterar a sua palavra-passe ou introduzir outras informações como números de cartão de crédito ou palavras-passe para outras contas que tenha.
- A razão pela qual o phishing é tão eficaz é que os perpetradores podem visar indivíduos ou grupos específicos de pessoas. Têm também uma grande variedade de métodos que podem utilizar para enganar as suas vítimas, levando-as a desistir da sua informação.
Por exemplo, podem enviar um e-mail que parece ser de uma empresa legítima (como o Google) pedindo-lhe para entrar na sua conta no seu website. Se cair neste truque, o seu nome de utilizador e palavra-passe são roubados!
- Outra razão pela qual o phishing é um crime tão eficaz é que ainda não existem leis reais contra ele - é apenas considerado assédio ou fraude online neste momento. Isto significa que as vítimas não têm qualquer recurso legal quando alguém rouba as suas informações pessoais através de esquemas de phishing como os acima mencionados!
- Não há muita consciência sobre Phishing, mesmo nos últimos anos. A maioria dos empregados de empresas, proprietários de domínios e indivíduos apenas ouviram fugazmente o termo "phishing" sem uma compreensão adequada de como é executado e o que podem fazer para se protegerem contra ele.
- Parte da razão é que o phishing é tão fácil de executar. Tudo o que precisa é de um computador e de alguns conhecimentos básicos de como utilizá-lo. Isso torna os phishings baratos e fáceis de executar - e é por isso que são tão perigosos.
- A outra parte é que os seres humanos são realmente bons a serem enganados. Os nossos cérebros são construídos para acreditar no que os nossos olhos nos dizem, e os pescadores furtivos aprenderam a explorar esta tendência a fim de levar as pessoas a agirem contra os seus próprios interesses.
É por isso que, embora saibamos melhor do que abrir um e-mail de alguém que não conhecemos ou clicar em links em e-mails enviados por pessoas que não conhecemos, ainda o fazemos por vezes - porque os nossos cérebros querem que acreditemos que estas coisas são seguras!
Como detectar tentativas de Phishing?
Certifique-se de que o e-mail que lhe é enviado é genuíno
Se não tiver a certeza se é real ou não, há algumas coisas que pode fazer para verificar. Primeiro, se a pessoa que o enviou for alguém que conhece (como o seu chefe), basta telefonar-lhe e perguntar se realmente o enviou. Se eles disserem que sim, então vá em frente e faça o que eles pediram. Mas se lhe disserem que não... bem, então, talvez algo de suspeito se esteja a passar!
Segundo, veja o endereço de e-mail: parece-lhe um endereço oficial da empresa? Muitas vezes este tipo de e-mails serão enviados a partir de um endereço que termina com "mailinator" ou algo semelhante - o que significa que não é de facto deles!
Autentique as suas mensagens
Para manter o trabalho de adivinhação fora, pode considerar autenticar as suas mensagens de correio electrónico usando protocolos fiáveis como SPF, DKIM e especialmente, DMARC. A autenticação pode ajudar os proprietários de domínios a prevenir uma vasta gama de ataques cibernéticos, incluindo spoofing, phishing, ransomware e BEC.
Procure sinais reveladores
- Procure erros ortográficos, gramática incorrecta e outros erros no e-mail. A maioria dos e-mails de phishing tem pelo menos um erro porque são criados por burlões que não são falantes nativos de inglês.
- Procure por ligações no e-mail. Se o link o direcciona para um website que não está associado ao seu banco ou loja online, então provavelmente não é seguro clicar no mesmo.
- Verifique quaisquer números de telefone que estejam listados no e-mail usando uma fonte fiável como o Google Voice ou o Skype antes de lhes ligar de volta - mesmo que pareçam legítimos! Também pode ligar directamente para o seu banco sem partilhar qualquer informação sensível pelo telefone, se suspeitar de um pedido de e-mail".
Leia o nosso guia detalhado sobre Indicadores comuns de uma tentativa de Phishing.
Como evitar ser vítima de phishing?
Para evitar ser enganado, siga estas dicas:
- Nunca clique em ligações phishing em e-mails ou mensagens de texto, a menos que saiba de onde vêm (e se pedem informações pessoais).
- Olha para o endereço de correio electrónico do remetente e compara-o com o seu verdadeiro endereço de correio electrónico (se o tiverem fornecido). Se não parecer correcto ou se houver erros ortográficos ou outros erros, não o abra!
- Aplique a sua política DMARC para p=reject (note que a mudança para aplicação de DMARC deve ser um processo gradual, e é sempre recomendável começar com p=nenhum)
- Eduque os seus empregados sobre os vectores de ataque por correio electrónico e as melhores práticas, submetendo-se gratuitamente a um Formação em DMARC.
Palavras finais
Não só os ataques de phishing colocam a sua rede em risco de violações de dados e infecções por malware, como também custam às empresas milhões em receitas perdidas e danos à reputação todos os anos (de acordo com a IBM). A melhor forma de prevenir estes ataques é através da sensibilização, detecção precoce e prevenções eficazes.
- A Blockchain pode ajudar a melhorar a segurança do e-mail? - 9 de maio de 2024
- Proxies de centro de dados: Revelando o cavalo de batalha do mundo proxy - 7 de maio de 2024
- Kimsuky explora políticas DMARC "Nenhum" em recentes ataques de phishing - 6 de maio de 2024