This post is also available in: Português Español
Phishing é um tipo de ciberataque que visa induzir usuários a executar ações que podem colocar em risco a segurança dos seus dados. Geralmente ocorre via e-mail, mas também pode ser executado através do envio de mensagens em redes sociais e SMS.
O nome phishing vem do inglês “fishing”, que significa pescaria. No sentido figurativo, o objetivo do phishing é jogar uma “isca” para tentar induzir pessoas a repassarem informações confidenciais, incluindo dados pessoas e informações bancárias, que serão utilizadas na aplicação de golpes.
Os cibercriminosos se fazem passar por pessoas ou instituições legítimas, amplamente conhecidas, como bancos, lojas virtuais e até mesmo instituições governamentais, para credibilizar o golpe.
Os conteúdos típicos de phishing normalmente contém links que, quando acessados, levam o usuário a um site que possui características muito semelhantes ao da instituição real, aumentando o poder de convencimento da fraude. E é neste momento que pessoas fornecem, espontaneamente, informações que possibilitam a execução dos golpes.
Os e-mails de phishing também podem hospedar malwares que quando acionados podem capturar dados ou comprometer o dispositivo das vítimas.
Continue a leitura deste conteúdo para entender melhor o que é o phishing, como surgiu, seu funcionamento, seus tipos e como se proteger desta ameaça.
O surgimento e evolução do phishing
Por volta dos anos 70, surgiu uma subcultura formada com base na prática de usar hacks de pouca tecnologia para explorar o sistema de telefonia. Eram os primeiros hackers, que eram chamados de “phreaks” – uma combinação de “phone” e “freaks” (fanáticos). Naquela época em que não havia muitos computadores conectados em rede para invadir, o phreaking era uma maneira comum de fazer chamadas de longa distância gratuitamente ou ligar para números não listados.
Mesmo antes do termo phishing atual ser utilizado, uma técnica de phishing foi detalhadamente descrita em um artigo e em uma apresentação feita para o International HP Users Group, Interex, em 1987.
Foi na década de 90 que o uso do nome em si foi atribuído a Khan C. Smith, um notório spammer e hacker. Além disso, a primeira vez que o phishing foi publicamente usado e registrado, foi em 2 de janeiro de 1996. A menção ocorreu em um fórum de discussão de usenet, chamado AOHell. Na época, a America Online (AOL) era o principal provedor de acesso à internet e tinha milhões de acessos todos os dias.
A popularidade da AOL fez com que se tornasse alvo de fraudadores. Crackers e piratas de software usavam a empresa para se comunicarem entre si e conduzir ataques de phishing contra usuários legítimos. Quando a AOL decidiu fechar o AOHell, os invasores começaram a usar outras técnicas: eles enviavam mensagens aos usuários AOL se passando por funcionários da empresa e solicitando que as pessoas verificassem suas contas e entregassem informações de faturamento.
Por fim, o problema tomou tamanha proporção que a AOL acrescentou alertas a todos os e-mails e sistemas de mensagens instantâneas, informando que “nenhum funcionário da AOL pedirá sua senha ou informações de faturamento”.
Nos anos 2000, o phishing voltou sua atenção para explorar os sistemas de pagamento online, e era comum os phishers mirarem em bancos e clientes de serviços de pagamento online. Alguns dos quais puderam ser precisamente identificados e combinados ao verdadeiro banco que usavam. Da mesma forma, os sites das redes socais se tornaram o principal alvo de phishing, sendo atraente para os cibercriminosos por conta dos detalhes pessoais, que são úteis para roubo de identidade.
Os malfeitores registraram dúzias de domínios que imitavam o eBay e o Paypal tão bem, que se passavam pelo site original sem que os usuários desconfiassem. Os clientes da Paypal recebiam e-mails de phishing que continham links para websites falsos, solicitando que atualizassem os números de cartões de crédito ou outros dados pessoais.
O primeiro ataque de phishing conhecido contra um banco, foi reportado pelo The Banker, em uma publicação do The Financial Times Ltd. em setembro de 2003.
Na metade da década de 2000, o software turnkey de phishing estava prontamente disponível no mercado negro. Ao mesmo tempo, grupos de cibercriminosos começaram a se organizar para realizar campanhas sofisticadas de phishing.
O prejuízo estimado, devido ao sucesso do phihsing, durante esse período varia. Segundo um relatório de 2007 da consultoria Gartner, mais de 3,6 milhões de pessoas perderam $3,2 bilhões entre agosto de 2006 e agosto de 2007.
Já em 2011, o phishing encontrou patrocinadores estatais quando uma suspeita campanha de phishing chinesa mirou em contas Gmail de oficiais do alto escalão do governo e do exército dos EUA e da Coreia do Sul, além de ativistas políticos chineses.
O mais famoso evento aconteceu em 2013, quando 110 milhões de registros e de cartões de crédito foram roubados dos clientes da Target através de uma conta de um subcontratado com phishing.
No primeiro trimestre de 2016, foi lançada a campanha de phishing pela Fancy Bear (grupo de espionagem cibernética associado à agência de inteligência militar russa GRU), contra endereços de e-mail vinculados ao Comitê Nacional Democrático.
Em 2017, um phishing scam maciço induziu os departamentos de contabilidade do Google e do Facebook a transferirem dinheiro, um total de mais de $100 milhões, para contas em bancos no exterior sob o controle de um cibercriminoso.
Desde então, os ataques phishing estão crescendo cada vez mais. As campanhas estão cada vez mais sofisticadas, e o número de vítimas só aumenta.
Como funciona o phishing?
Como em uma verdadeira pescaria, há mais de uma maneira de fisgar uma vítima.
Os ataques de phishing não têm como foco a vulnerabilidade em máquinas, sistemas ou softwares. O foco dos golpes de phishing é a vulnerabilidade humana. Ou seja, o fator humano.
Em outras palavras, o cibercriminoso lança o golpe e espera que a vítima morda a isca e acredite na fraude.
Nos casos de ataques de phishing via e-mail, geralmente, as vítimas recebem uma mensagem com uma solicitação urgente, que pode conter links e anexos maliciosos.
Outra característica desses ataques, é que estes e-mails sempre têm como remetentes, pessoas ou empresas que aparentemente são confiáveis, como, por exemplo, o gerente do seu banco, a Apple, a Microsoft ou a Netflix.
A maior parte das pessoas já recebeu, pelo menos uma vez, um e-mail suspeito que tentou persuadi-lo a clicar em um link, fazer o download de um arquivo, preencher um formulário ou fornecer informações do seu cartão de crédito.
É disso que os golpes de phishing se tratam. É assim que os ataques ocorrem.
Phishing com link malicioso
Quando se tem uma URL ou um link malicioso, a mensagem de e-mail vai solicitar que a pessoa clique no link e atualize as informações de pagamento, por exemplo.
O que a vítima não sabe, é que o link irá direcioná-la para uma página falsa, que se parece muito com o site real e oficial. Ao fornecer os dados, a vítima acaba enviando as suas informações para o cibercriminoso.
Phishing com anexo malicioso
Se for o caso do phishing conter um anexo malicioso, o principal risco é clicar no arquivo e ser infectado por um malware, como um Trojan, vírus, spyware ou ransomware, por exemplo.
O grande problema dos malwares é que eles podem comprometer informações importantes e até provocar danos irreparáveis.
No caso dos ransomwares, por exemplo, dados e sistemas são sequestrados e bloqueados, o que pode paralisar a operação de toda uma empresa. Para libera-los, os cibercriminosos exigem o pagamento de um resgate.
Características dos golpes
Como vimos mais acima, com o passar do tempo, os golpes de phishing têm evoluído em grau de sofisticação, o que os tornam mais difíceis de serem detectados.
Porém, a grande maioria dos ataques possui algumas características em comum. Confira quais são elas para ficar atento.
Assuntos em caráter de urgência
Se o e-mail diz respeito a uma super oferta ou exige que você tome uma ação rapidamente, fique alerta. O senso de urgência é uma das principais características do Phishing.
Promessas milagrosas
Mensagens sobre produtos e promessas milagrosas normalmente são fraudes. Não interaja com e-mails que prometem, ganhos financeiros rápidos, ou cura milagrosas para doenças. Recentemente, temas associados a COVID-19, foi amplamente utilizado em estratégias de phishing, devido ao impacto causado pelo vírus em todo o mundo.
Remetentes suspeitos e endereços de e-mail similares
Os cibercriminosos geralmente usam endereço de e-mail similares aos legítimos, apenas adicionando ou invertendo letras. Portanto, é importante sempre estar atento ao remetente e checar com atenção de onde veio a mensagem.
Erros de ortografia e gramática
Um outro sinal muito presente nas estratégias de phishing são os erros de gramática e ortografia no e-mail ou mensagem enviada. De todo modo, é importante ressaltar que esta característica tende a ser menos frequente com a especialização dos ataques.
Links suspeitos e anexos
Os phishers normalmente utilizam links maliciosos. Sempre examine com atenção os links contidos em e-mails, antes de efetuar o clique. Caso você tenha clicado em um link, analise o endereço e as características da página e em caso de dúvida, não repasse nenhum tipo de informação pessoal.
Em se tratando de anexos, esses podem ser mais perigosos, pois envolvem malware e outras ameaças, como, por exemplo, ransomware, trojan e spyware.
Portanto, evite interagir com anexos que apresentem características suspeitas.
Solicitação de informações confidenciais
Independentemente do remetente, suspeite de qualquer mensagem que esteja requisitando informações confidenciais, como dados de cartão de crédito, lista de contato dos funcionários da empresa ou qualquer outra informação que fuja ao convencional e possa ser utilizada para obtenção de vantagens.
Principais tipos de Phishing
O denominador comum entre todos os ataques de phishing é o disfarce. Os cibercriminosos alteram o remetente para que pareça ter sido enviado por outra pessoa, criam sites falsos que se assemelham muito a sites que a vítima confia e usam conjunto de caracteres semelhantes as URLs dos sites legítimos.
Ainda assim, há uma variedade de técnicas que se enquadram no conceito de phishing. Existem maneiras diferentes de dividir os ataques em tipos. Confira abaixo.
Spear phishing
O spear phishing é muito parecido com o phishing “tradicional”. A grande diferença é que, ao invés de realizar grandes ataques, mirando grupo de pessoas e empresas diversas, essa variação de phishing faz o roubo de informação específica de organizações precisamente selecionadas.
Propriedade intelectual ou dados sigilosos e confidenciais, que são mantidos a conhecimento de um grupo bem seleto de colaboradores corporativos, assim como dados financeiros ou militares, são as principais informações que esses cibercriminosos buscam adquirir.
Esses tipos de ataques, como mencionado, funcionam através de e-mails. Uma mensagem é enviada em nome de organizações com credibilidade ou de um remetente que a vítima já tenha mantido contato. O conteúdo da mensagem é a principal isca e, para o crime ser completo, basta o alvo dar o seu clique. Geralmente, a vítima é enviada até um website, onde informa seus dados pessoais – ou corporativos. É a partir desse envio de informações que o roubo acontece.
Além disso, as vítimas correm mais riscos porque ataques de spears phishing são altamente personalizados – e sabem exatamente de que forma atacar. De acordo com uma pesquisa realizada pela empresa de segurança Proof, duas em cada cinco empresas já sofreram com esses ataques. Delas, 40% afirmaram que o conteúdo do e-mail se referia a viagens e pacotes de turismo, 30% de redes sociais e outros 7% sobre vendas onlines. Por isso, todo cuidado é pouco.
Whaling/fraude do CEO
Quando os cibercriminosos tem como objetivo atingir pessoas com a posição de CEO, esse tipo de ataque é chamado de “whaling” (algo como “caça as baleias”, em português). Esses invasores geralmente gastam um tempo definindo o perfil do alvo para encontrar o momento oportuno e os meios corretos para roubar credenciais de login.
O Whaling é considerado um ataque de alta gravidade, que causa bastante preocupação porque executivos de alto nível podem ter acesso a uma grande quantidade de informações confidenciais da empresa.
Smishing
O smishing nada mais é do que a junção das palavras SMS e phishing. Ou seja, se trata da fraude de phishing praticada exclusivamente via SMS.
Nesse tipo de ataque, a vítima recebe uma mensagem de alerta, com intenção de coletar informações pessoais ou fazer o destinatário acessar links suspeitos. Geralmente são praticados em nomes de bancos ou instituições financeiras.
Vishing
Também conhecido como phishing de voz, é uma chamada telefônica fraudulenta, projetada para obter informações confidenciais. Nelas, o cibercriminoso liga para a vítima, se passando por um agente de suporte, ou representante de empresa ou banco, solicitando dados pessoais, bancários e até o número do cartão de crédito da vítima.
BEC
A sigla BEC (business e-mail compromise) se refere a um disfarce de e-mail corporativo. Essas mensagens geralmente assumem a forma de solicitações “urgentes” de uma empresa, se passando por membro de uma equipe sênior, como o CEO ou CMO.
Eles utilizam táticas de engenharia social para enganar os membros mais jovens da equipe, coagindo estas pessoas a tomarem atitudes prejudiciais aos negócios.
Phishing bancário
O Phishing bancário consiste em sites falsos, iguais às páginas de instituições bancárias, criados para enganar os usuários e roubar suas credenciais do banco, como tokens, senhas, números da conta, dados de cartão de crédito, entre outros.
Phishing de social media
Como hoje em dia a maior parte das pessoas acessa com frequência as redes sociais, os cibercriminosos se aproveitam desse meio para aplicar seus golpes. Muitas vezes, os invasores fazem uma pesquisa sobre suas vítimas nas redes sociais e outros sites para coletar informações detalhadas e, em seguida, planejar o ataque.
Eles enviam uma mensagem para a vítima, se passando por alguma marca, hotel, pousada, ou qualquer outra coisa que a pessoa tenha interesse para dar mais veracidade ao golpe, causando danos dos mais variados tipos as pessoas e organizações.
Como se proteger do Phishing?
Assim como todas outras ameaças virtuais, existem maneiras de se proteger de ataques de phishing. É muito importante deixar claro, no entanto, que a melhor forma de evitar esses crimes é através de prevenção. As empresas precisam estar conscientes da importância de manter um bom ecossistema de segurança, assim como conscientizar seus colaboradores para que evitem acessar páginas suspeitas ou realizarem atividades inadequadas – do ponto de vista da segurança.
A seguir, conheça algumas dicas que podem ser colocadas em prática no dia-a-dia, a fim de prevenir eventuais ataques de phishing.
Confira o remetente
Muitos desses crimes podem ser evitados ao analisar o e-mail do remetente. Geralmente, os criminosos se escondem por trás de endereços similares ao de clientes ou organizações. É importante prestar atenção nesses pequenos detalhes, que podem fazer grande diferença.
Não clique em links suspeitos
Se você conferiu o remetente e ele pareceu suspeito, tenha cautela. Evite cliques nessas mensagens ou em eventuais links inseridos nela. Eles podem direcionar a websites construídos com o propósito único de roubar informações. É importante também analisar se a conexão é segura, através do protocolo https:// com o ícone de cadeado.
Não fornecer informações confidencial
Embora seja óbvio, nem todas as pessoas seguem esta dica à risca. É de suma importância que gestores e colaboradores estejam cientes que não devem compartilhar informações confidenciais por nenhuma plataforma antes de validar a veracidade do solicitante.
Tenha boas soluções de segurança
É importante possuir recursos de segurança que possam fazer o controle e prevenção desse tipo de ameaças. Firewalls, devidamente configurados, conseguem suprir parte da necessidade, evitando que cliques redirecionem usuários para sites maliciosos. Os firewalls funcionam como barreira entre a rede externa (internet) e a interna (empresa). Antispams também são ótimos recursos, pois fazem um filtro de todos os e-mails que serão recebidos, evitando que potenciais ameaças cheguem até a caixa de entrada dos clientes.
Caso sua empresa ainda não possua boas soluções de segurança, converse com nossos especialistas e conheça o OSTEC mail Security, que reduz em até 98% a incidência de spams e phishings recebidos por e-mail, protegendo os resultados corporativos dos mas variados tipos de ameaças virtuais.