Phishing – Tudo o que precisa de saber para evitar roubo de dados

claudiosa

phishing - tudo o que precisa de saber

Partilhe o post

Share on facebook
Share on linkedin
Share on twitter
Share on email

É provável já tenha ouvido falar de phishing.

É provável que o imagine como um tipo de pirataria, que só acontece às grandes empresas no estrangeiro. E que não saiba exatamente o que é nem com que forma se apresenta…

Estarei perto da verdade?

Se sim, deixe-me partilhar consigo alguns factos chocantes:

percentagem de utilizadores afetados pelo phishing em cada país
via Computerworld.com.pt

Se consegui conquistar a sua atenção, talvez tenha interesse nos temas que vamos abordar neste artigo. Continue a ler se lhe interessa saber:

  • Que tipos de phishing existem;

  • Como é o aspecto um email de phishing;

  • Que tipos de assuntos são usados num email de phishing;

  • Que tipos de anexos seguem num email de phishing;

  • Quais as consequências do phishing;

  • Como proteger a sua empresa de tentativas de phishing.

Mas antes de mergulhar verdadeiramente no tema, vamos desmistificar este palavrão que assusta os empresários menos tecnológicos. Afinal, o que significa a palavra phishing?

O que é o phishing?

Conhecemos por phishing o acto criminoso de enganar um utilizador, levando-o a partilhar informações confidenciais como passwords ou números de cartões de crédito.

Tal como na pesca (fishing em inglês), há mais do que uma forma de “pescar” a vítima. Mas recorrer a um email que se faz passar por determinada pessoa ou organização confiável – como um banco ou entidade governamental – continua a ser a prática mais comum.

Esta é a sequência habitual do crime:

  1. A vítima abre o email porque encontra na sua caixa de entrada um assunto assustador ou urgente;

  2. O email pede à vítima que baixe um anexo e/ou consulte um website e faça determinada ação urgente;

  3. O utilizador clica e entra num website com aspecto fidedigno;

  4. O website pede ao utilizador que inicie sessão ou introduza dados bancários ou pessoais;

  5. Essa informação é posteriormente vendida, usada para esvaziar contas bancárias e/ou extorquir a vítima
Fonte: ZScaler, 2020

A maioria dos casos de phishing desagua em extorsão, roubo de dinheiro ou identidade. Mas atenção: o phishing também é utilizado para espionagem corporativa ou roubo de dados e segredos de negócio a empresas.

Por tudo isto, é fundamental que os responsáveis pelas empresas portuguesas estejam preparados para reconhecer e evitar tentativas do phishing. Vamos começar por descobrir que tipos de phishing existem para que, também a sua empresa, saiba resistir!

Phishing: que tipos existem?

1 – Spear Phishing

O termo spear phishing é uma analogia à pesca com lança: onde o pescador pode seleccionar especificamente o peixe que procura caçar, ao contrário da pesca com cana.

Este tipo de ataque tem como alvo um grupo específico ou um tipo de indivíduo – como por exemplo um administrador do departamento financeiro de uma empresa:

spear phishing
via Imperva.com


Se, por um lado, maior parte de nós nunca ouviu falar do termo spear phishing, a verdade é que ele está longe de ser raro. Só em 2020, cerca de 30% dos profissionais de IT alegam ter enfrentado pelo menos uma tentativa de ataque!

2 – Whaling

Se o spear phishing é um ataque direccionado a um determinado cargo ou grupo, o whaling procura atingir uma pessoa específica. O termo whaling é uma analogia à captura de peixes realmente grandes: as baleias, claro!

CEO, CFO ou qualquer cargo de topo num setor ou negócio específico pode estar sujeito a esta tentativa de ataque. E lembre-se: tipicamente, este ataque envolve pedido de dados fiscais ou dados bancários da empresa que está a ser atacada.

3 – Smishing

É um nome estranho que designa phishing em forma de mensagens de texto ou SMS. Na prática, uma mensagem escrita que tranporta um link clicável ou um pedido de informações ou dados pessoais.

Um exemplo clássico de smishing é um SMS aparentemente vindo da instituição bancária da vítima: um aviso de que a conta bancária foi comprometida e que são necessárias informações para algum tipo de confirmação, de forma imediata:

smishing
via Cyfose.com


Nota ainda para as tentativas de smishing com pagamentos pendentes à Apple ou com a alegada chegada de encomendas da Amazon ou via CTT – que se têm tornado frequentes em Portugal. Eu próprio já fui alvo de várias tentativas de smishing desta natureza!

4 – Vishing

Uma tentativa de vishing tradicional é feita através de uma chamada de voz, com o mesmo objetivo que uma tentativa de phishing via email.

Num cenário típico, o criminoso faz-se passar, por exemplo, por um representante da Microsoft e avisa ter descoberto um vírus periogoso no computador da vítima.

De seguida e por norma, o criminoso solicita dados de acesso ou informações do cartão de crédito da vítima, para instalar remotamente uma versão atualizada de um antivírus.

Infelizmente o cenário complica-se a partir daqui:

  • O criminoso fica na posse dos dados de acesso ao cartão de crédito da vítima

  • Provavelmente o “antivírus” que a vítima instalou é um malware como um cavalo de Tróia

E claro: esse malware ficará a observar a atividade online da vítima, de forma a que o criminoso possa roubar outros dados, como uma senha de acesso à conta bancária.

5 – Phishing em Mecanismo de Pesquisa

A nomenclatura começa a complicar-se mas, acredite em mim, o princípio é sempre igual.

Neste crime, os atacantes trabalham com técnicas de marketing digital para que um website se torne o primeiro resultado de uma determinada pesquisa nos motores de busca, como o Google. Vamos imaginar que essa pesquisa é “chá verde”, para lhe dar um exemplo prático:

phishing motores busca
Ilustrado por: Patrícia Chequetti

Neste cenário, sempre que um utilizador pesquisar por “chá verde” no Google, o primeiro resultado a surgir tende a ser o website do criminoso. E portanto, é muito mais provável que a vítima acabe por clicar nessa sugestão!

Se o fizer, a vítima é direccionada para o website do criminoso e, na sua interação com esse website – em ações simples como logins – são-lhe roubadas informações ou dados confidenciais.

Nota: os websites de phishing em mecanismo de pesquisa podem fazer-se passar por qualquer tipo de instituição, mas assumem tipicamente a forma de um website de banco, rede social ou loja online.

6 – Phishing por Ransomware

Seja por email, chat ou através dos motores de busca, phishing por ransomware implica que a vítima receba um link fraudulento.

A diferença é que, em vez de ser redireccionada para um website falso…

…a vítima clica nesse link e descarrega automaticamente um software malicioso para o computador: muitas vezes em forma de ransomware!

Recentemente, o grupo Impresa foi atacado por ransomware e os websites da SIC e do Expresso estiveram +3 dias indisponíveis!

Ao contrário das formas de phishing que explicámos até aqui, a intenção do phishing por ransomware não é apenas roubar informações: são os computadores das vítimas que são virtualmente sequestrados

…com um desfecho semelhante em qualquer ataque: a vítima deve pagar um resgate para recuperar os dados que o criminoso tem agora em sua posse!

7 – Pharming

Empresários e responsáveis por negócios em crescimento: cuidado com o pharming. É um dos tipos de phishing mais perigosos, porque ataca o servidor DNS – o cérebro de todo o sistema informático – especialmente nos sistemas empesariais!

Por norma, o ataque consiste na instalação de um Cavalo de Tróia através de um computador que se liga à rede ou diretamente na rede empresarial.

Ora, é a partir deste ponto que o pânico se instala: qualquer endereço do website da empresa, mesmo que tenha uma aparença confiável, podem levar o utilizador a páginas fraudulentas sem que ele desconfie.

Já imaginou o banquete que está a servir aos hackers, quando se deixa infetar por pharming?

Todos os utilizadores que visitam o website da sua empresa passam a estar em risco: são milhares de informações pessoais a ser coletadas ao mesmo tempo e, no final do dia, a responsabilidade destes crimes é negligência da sua empresa!

Clique para fazer um check-up grátis à sua empresa e descobrir se o seu website está seguro

DICA: os programas de antivírus são fundamentais para evitar este tipo de contaminação. Lembre-se de manter o seu atualizado e seleccione-o com a ajuda do seu parceiro informático!

8 – Clone Phishing

Quando pensamos que os cibercriminosos não nos podem surpreender mais, surge sempre uma inovação brilhante que impressiona toda a comunidade informática. Quer um exemplo?

Nada mais nada menos que o clone phishing, onde:

  1. O criminoso faz uma cópia – ou clone – de um email fidedigno que contém um anexo ou link, anteriormente enviado à vítima;

  2. Depois troca o conteúdo do anexo ou o destino do link por conteúdo malicioso;

  3. E a vítima, ao descarregar esse anexo ou ao clicar nesse link, acaba por permitir que o seu sistema seja sequestrado.

phishing instagram facebook
via Nakedsecurity.sophos.com


Viu o exemplo? É quase impossível encontrar as diferenças…

…e nestes caso ALERTA MÁXIMO: por norma o crime não fica por aqui!

O cibercriminoso – neste caso chamado de phisher – pode ainda imitar a identidade da vítima para se assumir como um remetente de confiança, perante outras vítimas da mesma organização!

9 – Blind Phishing

Quando não interessa escolher a vítima, o blind phishing é uma das técnicas mais populares. Neste tipo de ataque, emails em massa são enviados na esperança de que alguma vítima morda o isco, entre as milhares que são atacadas.

Simples? Certamente. Mas ainda mais eficiente: para os cibercriminosos, o blind phishing é a técnica de phishing mais usada em todo o mundo!

10 – QRishing

Tal como o nome indica, QRishing denomina o ciberataque onde links maliciosos são embutidos em códigos QR. Assim que a vítima lê o código com a camera do seu telemóvel, é direccionada para um website malicioso…

…onde, para além de lhe serem pedidos dados pessoais na página de destino, o seu dispositivo absorve algum tipo de malware!

11 – BEC ou Business Email Compromise

Se a palavra phishign é conhecida para muitos de nós, talvez o termo “esquema de BEC” ainda lhe seja pouco familiar. Mais isso vai mudar!

A sigla BEC significa Business Email Compromise e alude a um dos crimes online mais danosos, do ponto de vista financeiro. Num golpe de BEC, o cibercriminoso envia um email com aspecto profissional a fazer uma solicitação aparentemente legítima como:

  • Uma fatura, fazendo-se passar por um fornecedor com o qual a sua empresa lida regularmente;

  • Um pedido a um funcionário da empresa, por exemplo de compra de dezenas de cheque-oferta para enviar como presente, fazendo-se passar pelo CEO da empresa;

  • Um pedido de transferência a um comprador de uma casa, fazendo-se passar por uma entidade bancária ou pela empresa que gere a transferência de titularidade do imóvel.

São cenários que parecem tirados de um filme, mas aconteceram com vítimais reais.

De acordo com as vítimas reportadas de cibercrime de 2020, os esquemas de BEC foram responsáveis pela perda de mais de 1,8 biliões de dólares!

Phishing: 6 temas mais comuns

Como vimos anteriormente, o email é o veículo de phishing mais utilizado em todo o mundo. Há registos deste tipo de ataque desde 1990 e, pela frequência com que ocorre, você deve estar preparado para o detetar.

Está curioso/a para descobrir quais são os emails de phishing mais comuns? É isso que vamos descobrir, com a lista dos 7 temas mais utilizados para tentativas de phishing.

1 – Problemas de faturamento ou faturas

Você é informado de que um determinado produto ou serviço que comprou online não pode ser expedido – porque há um problema na criação da fatura. Quer ver um exemplo?

phishing ctt encomendas
via Ctt.pt

Existe um link nesse email que reencaminha o utilizador para uma página fraudulenta, onde lhe são solicitadas informações bancárias ou fiscais que o criminoso passa a poder utilizar. O resto da história você já conhece!

2 – Solicitações por parte de instituições governamentais

Responde institivamente aos emails de instituições e figuras de autoridade governamental? Se sim: você é a vítima ideal para este tipo de ataque.

Várias tentativas de phishing ameaçam a vítima com algum tipo de penalidade – por exemplo fiscal – a não ser que determinados dados sejam fornecidos num determinado período de tempo.

Recebeu um email das finanças ou da segurança social e tem dúvidas sobre ele?

  1. Consulte o capítulo Como é um email de phishing? deste artigo e aprenda reconhecer uma ameaça.

  2. Confirme a sua suspeita através do contacto telefónico que encontrar no website oficial dessa instituição governamental!

3 – O governo tem dinheiro para si

É o mesmo cenário do exemplo anterior, desta vez invertido: tipicamente utilizado na época de declaração de impostos, este tipo de tentativas de phishing prometem o reembolso de impostos

…mas você precisa de confirmar rapidamente os seus dados financeiros!

E onde os vai confirmar? Você sabe a resposta a esta pergunta: num link fraudulento que permite ao cibercriminoso registar os seus dados pessoais!

4 – Alerta do banco

A maior parte dos bancos alerta os seus clientes, por email ou mensagem escrita, para confirmar transferências online ou outro tipo de movimentos.

Esta prática é conhecida por autenticação de dois fatores ou duplo fator de autenticação.

Os cibercriminosos aproveitaram esta prática para, também eles, convencerem as vítimas a “confirmar” informações pessoais ou bancárias. Esta é a forma típica deste tipo de tentativas de phishing ou smishing:

phishing alerta banco
via Pplware.sapo.pt

Mas nunca se esqueça deste princípio: o seu banco nunca lhe vai pedir que confirme dados de acesso por email ou mensagem escrita. O seu banco pode enviar-lhe mensagens escritas ou emails com códigos de acesso…

mas apenas se antes você os requeriu para completar algum processo!

5 – Você ganhou um prémio

Todos nós já aterrámos em websites que se abrem automaticamente e que anunciam que ganhámos um prémio. As gerações mais jovens estão completamente vacinadas contra esta ameaça…

…mas os mais infoexcluídos têm o perfil ideal para cair nesta armadilha!

Como regra geral, nunca acredite neste tipo de prémios e ofertas. Nem tão pouco forneça dados pessoais, quando lhe pedirem que se registe para reclamar o prémio que acabou de ganhar!

6 – Pedido de ajuda

Cuidado: estamos perante um conflito armado na europa. e essa cirscunstância vai abrir as portas à utilização deste tema, ainda mais!

Neste tipo de email de phishing você é informado que uma determinada causa, que um amigo ou até um familiar, precisa de apoio urgente porque está a atravessar uma situação terrível. Aumente a sua resistência ainda mais se, no pedido, o delator implorar por ajuda financeira!

O jornal Independent escreveu um artigo há cerca dois anos, sobre esquemas fraudulentos que surgiram com a emergência do coronavírus. Consegue adivinhar qual foi um dos esquemas fraudulentos indicados na lista?

phishing pedido ajuda
via Independent.co.uk

Tal como é descrito na notícia, os cibercriminosos faziam passar-se pela OMS e pediam fundos para apoiar a prevenção e deteção do vírus em vários países.

Lembre-se que este tipo de golpes têm como alvo preferencial os idosos e também ocorrrem via telefone. É triste que os criminosos se aproveitem da solidariedade dos cidadãos mas esta ameaça existe e o contexto atual apela a que se mantenha e multiplique!

Phishing: 10 assuntos mais comuns

Também conhecidas como subject lines, o assunto é uma espécia de título de um email.

Ele pode ser lido na caixa de entrada do seu provedor de email, antes de abrirmos o email propriamente dito. Se não está familiarizado com o conceito, a imagem abaixo ilustra onde costuma aparecer o assunto de um email:

gmail phishing
via Targetbay.com

Na investigação para este artigo, descobrimos que a empresa KnowBe4 – a maior plataforma de mundo para formação e treino de colaboradores contra ataques de phishing – fez um estudo no último trimestre de 2020 sobre os 10 assuntos mais prováveis de encontrar num email de phishing.

Já que procurou saber mais informação sobre phishing, achámos que esta informação lhe poderia interessar!

Esta foi a lista final, produzida pelo estudo da KnowBe4:

  • IT: Annual Asset Inventory  
  • Changes to your health benefits  
  • Twitter: Security alert: new or unusual Twitter login  
  • Amazon: Action Required | Your Amazon Prime Membership has been declined 
  • Zoom: Scheduled Meeting Error  
  • Google Pay: Payment sent  
  • Stimulus Cancellation Request Approved  
  • Microsoft 365: Action needed: update the address for your Xbox Game Pass for Console subscription  
  • RingCentral is coming! 
  • Workday: Reminder: Important Security Upgrade Required  

Atenção: as conclusões deste estudo encontraram assuntos potencialmente perigosos na língua inglesa mas podem extrapolar-se para a língua portuguesa os temas que estão a ser mais utilizados!

“Não é surpresa que os ataques de phishing relacionados com o trabalho em casa estejam a aumentar, já que muitos países no mundo vêem os seus funcionários a trabalhar de forma remota há quase um ano”, diz Stu Sjouwerman, CEO da KnowBe4.

stu sjouwerman remote work
via KnowBe4
  • São utilizadas referências a pagamentos e subscrições na Amazon, Microsoft e Google;

  • A alegados problemas com reuniões online no Zoom;

  • Ao Twitter e ao teletrabalho…

…enfim: o nome dos serviços e aplicações que mais utilizamos a serem instrumentalizados para funcionarem como veículo de roubo de dados, a cibernautas inocentes.

Ilustrado por: Cláudio Sasil

Mas não só de marcas se faz o phishing.

Procurámos ainda investigar o tipo de instituições pelas quais os piratas se fazem passar, na maioria das tentativas de roubo de dados. E descobrimos que é comum encontrarmos emails de phishing onde os criminosos se fazem passar por:

1 – Instituições bancárias

Com o argumento de que houve o lançamento de um novo cartão pleno de vantagens, ou que existe uma fatura que está próxima de vencer e que levará ao encerramento permanente da sua conta, caso não seja paga.

2 – Entidades do governo

Com o argumento de que um determinado documento, como o cartão de eleitor, será cancelado caso não seja atualizado; ou que existe uma divida para com a segurança social ou uma irregularidade na declaração de impostoso; ou que existem multas de trânsito pendentes.

3 – Imprensa

Com o argumento de que você terá acesso a fotografias ou informações exclusivas sobre escândalos políticos, celebridades ou teorias da conspiração em troca de dados ou de um pagamento.

4 – Redes sociais

Com o argumento de que a sua conta no Facebook ou Instagram será excluída ou passará a ser paga, caso você não realize determinado tipo de ação; ou que você recebeu um novo convite de amizade e precisa de aceder a um link para aceitar esse convite.

5 – Serviços digitais mais utilizados

É comum serem utilizados emails de phishing que se fazem passar por serviços como a Dropbox ou o Google Drive. Os criminosos utilizam falsos endereços que parecem vir destas plataformas para levar as vítimas a fazer login em sites fraudulentos.

6 – Serviços relacionados com criptmoedas

Na forma de serviços de câmbio ou oportunidades de compra tentadoras, com moedas abaixo do preço de mercado.

Ilustrado por: Cláudio Sasil

Agora que já sabe:

  • O que é o phishing;

  • Que tipos de phishing existem;

  • Sobre que temas se debruça um email de phishing;

  • Que tipos de assuntos são usados no título de um email de phishing;

Fará sentido olhar para a forma real de um email de phishing.

Quais os sinais mais típicos? Que características deverão, logo à partida, deixá-lo/a em estado de alerta? Descubra no capítulo seguinte!

10 sinais de um email de phishing

Embora surjam nos mais variados formatos e tamanhos, é possível aprender a reconher um email de phishing se aprendermos os seus traços mais comuns.

Sim: existem softwares e serviços que podem ajudar, ao nível da segurança cibernética da sua empresa. Mas você pode (e deve) antecipar-se, caso encontre um destes 10 sinais:

1 – O email é generalista

Neste artigo, aprendemos o conceito de blind phishing, onde emails em massa são enviados na esperança de que alguma vítima morda o isco. É a técnica de phishing mais usada em todo o mundo e uma das que apresenta sempre este sinal.

Por norma, este tipo de email vai identificá-lo por “prezado cliente”, “caro subscritor” ou algum outro tipo de nomenclatura generalista.

Mas cuidado: não é porque a mensagem contém o seu endereço de email que a tentativa de phishing deixa de ser generalista. A mensagem pode até conter o seu nome mas ter claramente um conteúdo generalista.

Aprecie o teor do conteúdo, antes de clicar em algum link!

Manual Alves – Como evitar tentativas de Phishing?

2 – O email pede uma ação imediata

Os phishers adoram urgência. A urgência leva-nos a atuar! Este é um princípio que qualquer profissional de marketing conhece e utiliza.

Lembre-se disso quando abrir um novo email e não tenha medo de perder uma oportunidade única. Não responda a ameaças de multas, cancelamento de contas ou arresto de bens, sem apreciar bem o remetente do email.

Não haja por impulso: nenhuma entidade governamental ou instituição legítima lhe dará apenas uma oportunidade de agir antes de sofrer uma sanção. Se a mensagem apontar nesse sentido, há fortes possibilidade de estar perante uma tentativa de phishing. Como aqui:

phishing amazon
Passo 1 – Exemplo de uma tentativa de phishing que pede ação imediata

Caso você clique no link, é automaticamente encaminhado para uma página clone do menu de login oficial da Amazon. Repare na quantidade de dados que você partilha com o cibercriminoso:

Passo 2 – Exemplo de uma tentativa de phishing que pede ação imediata

3 – Links abreviados

Se ainda não sabia disto, existem softwares que encurtam links. Para quê, pergunta você? Para facilitar a partilha do link e tornar mais elegante o seu aspeto.

Estes softwares, por si só, não representam uma ameaça à segurança informática da sua empresa. O problema: você nunca sabe o que está do outro lado do link, antes de lhe clicar!

Regra geral, recomendamos que evite clicar num link abreviado quando abre uma nova mensagem de email. Até os profissionais de marketing, pela desconfiança que este tipo de links causa, começam a preferir um link mais longo à elegância de um link curto!

4 – Links estranhos ou suspeitos

Os cibercriminosos dão-se ao trabalho de utilizar links semelhantes aos da entidade pela qual se estão a fazer passar. O que significa isto na prática?

Por exemplo: se o cibercriminoso se está a fazer passar por um colaborador da Vodafone, ele pode usar um link como www.premiovodafone.pt em vez do link oficial da Vodafone em Portugal, que é o www.vodafone.pt.

phishing com links estranhos ou suspeitos
Ilustrado por: Cláudio Sasil

Mas cuidado! Há casos onde o link não é suspeito: é exatamente igual ao endereço web oficial da empresa. Só depois de clicar, você percebe que foi reencaminhado/a para um outro website, potencialmente perigoso!

Para despistar este risco, fixe o rato por cima do link sem lhe clicar. No gmail, ao fazer isto, você vai reparar que o link real de destino aparece em baixo, à esquerda:

gmail phishing
via Gmail

No exemplo acima, posei o rato em cima do texto hiperlinkado, onde se pode ler “View online“. Imediatamente, o gmail indica-me na barra amarela inferior que irei viajar para um link começado por http://mailchimp, caso clique nessa ligação.

Vai acontecer o mesmo consigo, independentemente do provedor de email que estiver a utilizar. Faça o teste no seu desktop!

5 – Links com erros ortográficos

Vimos que um email de phishing pode utilizar links estranhos, como www.premiovodafone.pt. Mas há ocasiões em que o cibercriminoso utiliza um endereço web quase igual ao site legítimo pelo qual se está a fazer passar.

Este tipo de “erros” de digitação são conhecidos por typosquatting e não são mais do que versões ligeiramente incorretas de URLs legítimos, em que você normalmente confiaria.

Por exemplo: se o cibercriminoso se está a fazer passar por um colaborador da Vodafone, ele pode usar um link como www.vodaphone.pt em vez do link oficial da Vodafone em Portugal, que é o www.vodafone.pt.

Reparou que escrevi ph em vez de f no meio da palavra Vodafone?

Ilustrado por: Cláudio Sasil

Um outro sinal de que pode estar perante uma tentativa de phishing é encontrar erros grosseiros ao longo do corpo de texto. Insituições séries preocupam-se com a sua imagem. Atenção: erros grosseiros incluem uso inadequado de pontuação (exemplo: !!!!!).

6 – Texto mal escrito

Pode acontecer… Mas é altamente improvável que o seu banco lhe envie um email cheio de erros ortográficos ou gramaticais. Este é um sinal gritante de que pode estar perante uma tentativa de phishing.

Lembre-se que um phisher é alguém que pode estar do outro lado do planeta. Muitos limitam-se a ir ao Google Tradutor para traduzir uma mensagem criminosa no idioma das vítimas!

7 – Pedidos de informação pessoal

Neste ponto há uma coisa que você sabe: phishers querem dados. E você também sabe que o seu patrão, os seus familiares e o seus amigos não têm por hábito pedir-lhe dados confidenciais por email.

O ato de pedir dados por email é, por si só, um motivo de suspeita.

Quando um email contém um pedido desta natureza – por exemplo a solicitar a confirmação de dados de uma conta bancária, credenciais de login ou outras informações pessoais – é provavél que esteja perante uma tentativa de phishing.

Apague esse email e bloqueie o remetente de imediato. Se for utilizador de email, basta clicar nos três pontos em cima à direita e escolher a opção assinalada:

via Gmail

8 – Contacto é de um serviço que você não usa

O cibercriminoso pode ter acesso a um banco de dados que contenha o seu email. Mas é improvável que conheça as empresas que efetivamente lhe prestam serviços.

Isto significa que, não raras vezes, o phisher tenta fazer-se passar por uma empresa com quem você nunca estabeleceu relação comercial. Por exemplo: na imagem que partilhei acima, o phisher fez passar-se pelo Novo Banco mas eu não sou cliente Novo Banco!

Quando o contacto é feito por uma empresa ou serviço que você não utiliza, recomendamos que entre em alerta máximo. Provavelmente estará perante nova tentativa de phishing!

9 – Contém uma oferta boa demais para ser verdade

Não, você não ganhou a lotaria.

Não, essa pessoa que precisa de mudar de país por razões políticas não lhe vai dar uma compensação significativa caso você o ajude.

Não, você não vai ser premiado porque ter feito a busca número 1.000.000 no Google.

O email que está a ler é uma ameaça e você está prestes a ser alvo de um crime cibernético. Apague esse email e bloqueie todas as mensagens desse remetente agora!

sinais de um email de phishing
Ilustrado por: Cláudio Sasil

10 – Anexos suspeitos

É normal que lhe cheguem anexos de familiares ou colegas de trabalho. Um anexo, por si só, não é um sinal de um email de phishing!

Mas uma coisa é certa: na maior parte das vezes, é graças a um anexo infetado que algum tipo de malware entra no seu computador.

A empresa de software de segurança ESET criou no final de 2020 um relatório sobre ameaças cibernéticas, onde incluiu os tipos mais comuns de arquivos maliciosos anexados a emails de phishing. São eles:

  1. Ficheiros .EXE de Windows (74%)
  2. Arquivos de script (11%)
  3. Documentos Microsoft Office (5%)
  4. Arquivos compactados como .RAR e .ZIP (4%)
  5. Documentos PDF (2%)
  6. Ficheiros Java (2%)
  7. Batch files (2%)
  8. Atalhos (2%)
  9. Ficheiros executáveis de Android (>1%)
Aneos phishing mais comuns em emails
Fonte: ESET, 2020

É verdade que as gerações mais jovens têm extrema facilidade em detectar este tipo de sinais. Mas as gerações mais antigas nem tanto. Por isso é fundamental estarmos alerta, sob pena de perdermos o acesso aos ficheiros e aplicações críticas das nossas empresas.

Preparado/a para reconhecer uma tentativa de phishing?

Se sim – e para que esteja realmente consciente da importância desse conhecimento – vou partilhar consigo as consequências nefastas de um ataque desta natureza.

Phishing: quais as consequências

Um estudo da Proofpoint levado em cabo em 2020 perguntou a várias empresas vítimas de phishing qual o custo do ataque sofrido. As respostas foi surpreenderam: apenas 18% citaram perdas financeiras, ao contrário do que à partida se poderia pensar.

As principais consequências indicadas foram:

  1. Perda de dados (60%)
  2. Contas ou senhas de acesso comprometidas (52%)
  3. Infeções por ransomware (47%)
  4. Infeções por malware (29%)
principais consequências ataque phishing
Fonte: Proofpoint, 2020

A empresa Verizon levou este estudo ainda mais longe e investigou o tipo de dados que tipicamente são comprometidos num ataque de phishing. O relatório foi publicado em 2021 e indica:

  1. Credenciais, como nomes de usuário e senhas
  2. Dados pessoais, como endereços e números de telefone
  3. Dados internos, como números de vendas
  4. Dados médicos, como informações sobre pedidos de seguro
  5. Dados bancários, como informações de cartão de crédito

Cuidado: as consequências de um ataque de phishing a uma empresa podem escalar até longos períodos de inatividade, danos reputacionais, perdas monetárias ou mesmo perdas de propriedade intelectual.

Mais: no cenário de roubo de dados de clientes, a sua empresa pode ser processada por esses clientes e enfrentar processos judiciais que obrigam ao pagamento de avultadas multas e taxas legais.

Todo o cuidado é pouco para qualquer empresa.

Descarregue grátis o Relatório de 2021 da Interpol sobre as 4 novas técnicas de cibercrime

Mas será que a sua faz parte de uma indústria tipicamente afetada por este tipo de crime? Vamos olhar para algumas tendências que podem ajudá-lo/a a compreender qual o nível de proteção mais adequado à sua.

Phishing: as indústrias mais afetadas

Foi graças a um relatório produzido pela KnowBe4 em 2021 que descobrimos que a indústria da saúde, onde se inclui especificamente a farmacêutica, é a mais afetada do mundo por tentativas de phishing:

via KnowBe4

O ranking das indústrias mais atacadas varia conforme a dimensão da empresas, mas pode observar-se que também o setor secundário aparece repetido em terceiro luga da lista, para empresas de larga e pequena dimensão.

Foi a própria IBM a reafirmar esta tendência, quando descobriu que a indústria da saúde, mesmo quando não lidera o ranking das indústrias mais invadidas, é a que normalmente mais sofre em termos de custo por ataque.

Mas seja qual for a sua empresa, a ameaça está ao virar da esquina e tornou-se ainda maior com o advento da pandemia e a escalada do trabalho remoto:

  • Entre fevereiro e março de 2020, o número de emails de phishing aumentou 667% de acordo com um estudo Barracuda Networks;

  • Entre o primeiro e o segundo trimestre do mesmo ano, segundo um estudo Abnormal Security, este crescimento aumentou mais 389% face ao registado entre fevereiro e março;

  • Um relatório da Microsoft sobre o futuro do trabalho mostrou que 80% dos profissionais de segurança informática indicaram um aumento do número de ameaças desde a mudança para o trabalho remoto. Desses 80%, pelo menos 62% dizem que as campanhas de phishing aumentaram mais do que qualquer outro tipo de ameaça;

  • Um estudo Zscaler descobriu que entre janeiro e março do mesmo ano, o número de mensagens suspeitas bloqueadas direccionadas a trabalhadores remotos aumentou mais de 30 mil por cento!
emails phishing aumentam
Fonte: Barracuda Networks, 2020

Segundo o gabinete de crimes cibernéticos da Interpol, a principal ciberameaça relacionada com a COVID-19 foram os esquemas de phishing e fraude com 59% dos ataques registados em 48 países diferentes. E claro grande parte destes ataques chegaram por email!

via Statista

Os dados são muitos e é natural que o alarmem. E ainda mais natural que se sinta inseguro a abrir qualquer email, nos próximos dias. Porque compreendemos isso, vamos responder-lhe às três perguntas que os empresários mas nos fazem sobre phishing.

Phishing: perguntas frequentes

Se alguma destas questões lhe ocorreu durante este artigo, aproveite para conhecer a resposta imediatamente abaixo:

“Como é que o cibercriminoso sabe que eu sou cliente de determinada empresa?”

Na maioria das vezes não sabe. Se parece o contrário é provável que tenha sido apenas sorte!

Em alguns tipos de phishing, o criminoso envia uma mensagem fraudulenta para milhares de pessoas porque sabe que uma parcela significativa dessas pessoas pode ser cliente da empresa pela qual se faz passar. Quer um exemplo?

Se o cribercriminoso tiver uma base de dados de 100 mil portugueses e caso se faça passar pelo Novo Banco, é normal que entre esses contactos esteja algum português que é cliente do Novo Banco!

Lembre-se que, por norma, os cibercriminosos fazem passar-se por empresas que têm bases de clientes muito grandes como bancos, companhias aéreas, grandes retalhistas ou operadoras de telecomunicações.

“E se o email de phishing tiver o meu nome exato ou o meu número se Segurança Social?”

Este tipo de mensagem é pouco comum mas, ainda assim, simples de explicar: provavelmente o criminoso teve acesso a um banco de dados mais completo. Isto acontece, por exemplo, quando uma loja online é invadida ou quando um funcionário revende informações ilegalmente!

Regra geral, mesmo que a mensagem contenha os seus dados pessoais, nunca desconsidere a possibilidade de estar perante um ataque de phishing.

Descarregue grátis o Relatório de 2021 da Interpol sobre as 4 novas técnicas de cibercrime

“E se a mensagem me foi enviada por alguém conhecido?

Atenção: mesmo nestas ocasiões é possível que esteja perante um ataque de phishing. Por uma razão simples: um familiar ou amigo seu pode estar a reencaminhar-lhe uma mensagem com um link ou anexo fraudulento sem se aperceber!

Como proteger o meu negócio?

Esta resposta não é fácil nem curta. Mas ninguém melhor que o nosso diretos comercial Manuel Alves para resumir os cuidados que deve ter, já a partir de hoje!

Caso sinta que precisa de apoio para implementar soluções de segurança, lembre-se que pode agendar uma reunião gratuita de 30 minutos com ele ou um dos nossos especialistas. Mesmo que não esteja pronto para fazer um investimento em segurança informática, vamos explicar-lhe como proteger a sua empresa das várias tentativas de phishing que – certamente – estará a receber!

fale connosco

Agende uma
consultoria
grátis!

ou ligue

+351 261 430 040

vEJA MAIS