Um dos principais tipos de engenharia social é o ataque de phishing, que tem crescido a cada dia. De acordo com o relatório da Verizon Data Breach Investigation Report 2022, 20% dos vazamentos de dados do período analisado envolveram phishing.

Esses números alertam para a necessidade de conhecer os diferentes tipos de phishing e saber como evitar essa ameaça, temas abordados neste artigo. Para facilitar sua compreensão, dividimos nosso texto por tópicos. São eles: 

• O que é phishing?

• Funcionamento do phishing

• 7 principais tipos de ataques de phishing

• Sinais comuns de phishing

• Melhores práticas para a prevenção de ataques phishing

• senhasegura GO Endpoint Manager: a solução para proteger contra os ataques phishing

• Sobre o senhasegura

• Conclusão

Boa leitura!

O que é phishing?

O phishing é um tipo muito comum de engenharia social em que hackers se passam por entidades legítimas ou pessoas confiáveis para manipular suas vítimas e solicitar que executem determinadas ações, como optar por conceder informações sigilosas ou clicar em links maliciosos.

Ataques de engenharia social como o phishing estão presentes em quase todos os incidentes de segurança cibernética e costumam envolver outras ameaças, como ataques de rede, injeção de código e malware. 

Funcionamento do phishing

Normalmente, os cibercriminosos utilizam meios como as redes sociais para reunir dados de suas vítimas, como nome, cargo, interesses e endereço de e-mail. 

Depois, essas informações são utilizadas para criar uma mensagem falsa em nome de uma entidade confiável, como bancos, local de trabalho ou universidade da vítima.

Nas mensagens, solicita-se que o usuário baixe anexos maliciosos ou clique em links para sites mal-intencionados a fim de coletar informações confidenciais, que podem incluir nomes de usuários, senhas e dados bancários.

Alguns atacantes utilizam fontes, logotipos e layouts inadequados nos e-mails de phishing, facilitando sua identificação como tal, porém, os cibercriminosos estão se aprimorando cada vez mais, fazendo com que suas mensagens pareçam autênticas.

7 principais tipos de ataques de phishing

Confira a seguir os sete principais tipos de phishing utilizados por cibercriminosos para manipular suas vítimas:

Deceptive Phishing

O Deceptive Phishing é o mais comum entre os tipos de phishing. Nele, os atacantes se passam por uma entidade legítima para acessar dados pessoais ou credenciais de login de suas vítimas, utilizando mensagens com ameaças e senso de urgência para manipulá-las.

Confira algumas técnicas comuns utilizadas no Deceptive Phishing:

• Uso de links legítimos nos e-mails, incluindo informações de contato da organização que estão simulando;
• Combinação de códigos maliciosos e não maliciosos para enganar o Exchange Online Protection (EOP). É possível, por exemplo, replicar o CSS e o JavaScript da página de login de uma empresa de tecnologia para roubar as credenciais da conta dos usuários;
• Uso de URLs abreviadas para enganar os Secure Email Gateways (SEGs) e de “time bombing” para redirecionar os usuários para uma página de destino de phishing;
• Alteração de um atributo HTML de logotipos de marcas para evitar que filtros de e-mails detectem o roubo dos símbolos da empresa falsificada;
• E-mails com conteúdo mínimo, muitas vezes em forma de imagem, para evitar a detecção.

Spear Phishing

O Spear Phishing também está entre os tipos de phishing que utilizam e-mail, porém, essa modalidade é mais direcionada. Na prática, os hackers utilizam inteligência de código aberto (OSINT) para reunir dados de uma empresa disponíveis publicamente. 

Depois, focam em usuários específicos, utilizando essas informações para fazer as vítimas acreditarem que a mensagem é de alguém de dentro da organização, facilitando assim a realização de suas solicitações.

Para identificar o Spear Phishing, é preciso ficar atento às solicitações internas fora do comum, links de drives compartilhados e documentos que exijam um ID de login e senha do usuário.

Whaling

O Whaling também está entre os tipos de phishing que utiliza OSINT. Conhecido como Phishing de Baleias, Fraude de Baleias ou CEO, esse tipo de ataque consiste em identificar o nome do CEO da organização por meio de mídias sociais ou site corporativo e enviar uma mensagem se passando por ele e fazendo solicitações às vítimas.

Para identificar esse tipo de ataque, é necessário se atentar a solicitações anormais, feitas por líderes que nunca enviaram esse tipo de mensagem antes, por exemplo. Além disso, é importante verificar se a mensagem não foi enviada para ou por um e-mail pessoal. 

Vishing

O Vishing é o phishing de voz, que acontece quando o cibercriminoso entra em contato com suas vítimas por telefone para despertar seu senso de urgência e fazer com que atendam suas solicitações.

Para identificar o Vishing, é válido verificar se o número de telefone utilizado é de um local incomum ou bloqueado, se o tempo da chamada coincide com um evento de estresse, como uma temporada de declaração de impostos, e se os dados pessoais solicitados são incomuns.

Smishing

O Smishing é uma evolução do Vishing, que se caracteriza pelo envio de textos solicitando que o usuário realize determinada ação para alterar uma entrega, como clicar em um link que instala malware em seu dispositivo.

É possível identificá-lo, indo ao site do serviço e verificando o status da entrega ou comparando o código de área com sua lista de contatos.

Pharming

O Pharming está entre os tipos de phishing mais difíceis de identificar. Consiste em sequestrar um Domain Name Server (DNS) e direcionar o usuário que digita o endereço do site a um domínio malicioso.

Para se proteger contra esse tipo de ataque, é necessário procurar por sites que sejam HTTPS, não HTTP, e ficar atento aos indícios de que o site é falso, como fontes estranhas, erros ortográficos ou cores incompatíveis.

Angler Phishing

O Angler Phishing é um tipo de ataque em que os usuários mal-intencionados emitem notificações ou mensagens em um app de rede social para convencer suas vítimas a executar determinadas ações.

Nesses casos, é aconselhável ter cuidado com notificações que possam ter sido adicionadas a uma postagem com links maliciosos, mensagens diretas de pessoas que dificilmente utilizam o aplicativo e links para sites compartilhados em mensagens diretas.

Sinais comuns de phishing

Ficar atento aos sinais é uma maneira de se proteger da ação de atacantes maliciosos que utilizam os diferentes tipos de phishing para manipular suas vítimas. Confira a seguir os principais indícios dessa ameaça:

E-mails que exploram o senso de urgência

Mensagens que estimulam uma ação imediata por meio de ameaças ou outra forma de despertar o senso de urgência, devem ser encaradas com desconfiança. Afinal, o objetivo dos hackers, nesse contexto, é garantir que suas vítimas atendam suas solicitações com pressa, antes que possam perceber inconsistências no e-mail recebido.

Tom inadequado

Uma importante característica do phishing é que as mensagens podem utilizar uma linguagem e tom inadequados. Portanto, se você receber uma mensagem de um amigo com um tom excessivamente formal, desconfie.

Solicitações fora do padrão

E-mails com solicitações incomuns frequentemente consistem em ataques de phishing. Na prática, a vítima pode receber uma mensagem solicitando que execute uma ação normalmente efetuada pelo setor de TI, por exemplo.

Erros ortográficos e gramaticais

Em geral, as organizações costumam configurar a verificação ortográfica de seus e-mails. Sendo assim, é importante se atentar a erros ortográficos e gramaticais que podem indicar um ataque de phishing.

Endereços da Web incompatíveis

Outra maneira de detectar ataques de phishing é comparando o endereço do remetente com uma comunicação anterior, que possa apontar incompatibilidade.

Para isso, basta passar o mouse sobre o link em um e-mail antes de clicar nele, para ver seu verdadeiro destino.

Solicitações inesperadas

Muitas vezes, os cibercriminosos utilizam páginas de login falsas associadas a e-mails que parecem ser legítimos. Nessa página, podem solicitar informações financeiras, que não devem, de modo algum, ser fornecidas pelos usuários sem que eles verifiquem o site que supostamente enviou o e-mail.

Melhores práticas para a prevenção de ataques phishing

Confira a seguir algumas práticas recomendadas para prevenir os diferentes tipos de phishing:

Qualifique seus colaboradores

Educar seus funcionários é a primeira medida que você deve tomar para evitar ataques de phishing, afinal, pessoas desprevenidas são alvo fácil dos agentes maliciosos. Porém, os treinamentos oferecidos devem ir além da abordagem tradicional e incluir ameaças recentes e sofisticadas.

Utilizem filtros de e-mail

Geralmente associados a filtros de spam, os filtros de e-mail ultrapassam essa função e indicam ameaças relacionadas a ataques de phishing. Na prática, utilizar o filtro de e-mail pode evitar que o usuário receba um grande número de e-mails de phishing.

Garanta a proteção contra sites maliciosos

Sabendo que as organizações estão filtrando os e-mails para prevenirem phishing, cibercriminosos têm atacado códigos de sites. 

Sendo assim, é de extrema importância que você instale alertas de sites em navegadores para que estes apontem eventuais riscos aos usuários finais.

Limite o acesso à internet

Outro modo de reduzir os riscos associados a sites maliciosos é criando listas de controle de acesso, que neguem a conexão a determinados sites e aplicativos a todos os que tentarem.

Exija o uso do múltiplo fator de autenticação

Um dos principais objetivos dos cibercriminosos é roubar as credenciais do usuário, um risco que pode ser reduzido utilizado o múltiplo fator de autenticação (MFA). 

Na prática, esse mecanismo exige que o usuário utilize dois ou mais itens para se autenticar, unindo algo que ele saiba (como uma senha), algo que possua (como um token) e algo associado a quem ele é (como impressão digital ou reconhecimento facial).

Remova sites falsos

É possível contar com soluções que monitoram e eliminam versões falsificadas do seu site. Desse modo, você consegue evitar que seus funcionários e clientes cliquem em links maliciosos.

Realize backup regularmente

É muito comum que os ataques de phishing estejam associados a malware, incluindo ransomware, o que pode impactar na produtividade do seu negócio, se você não contar com um programa de backup de dados.

senhasegura GO Endpoint Manager: a solução para proteger contra os ataques phishing

Uma das soluções mais eficazes para prevenir os diferentes tipos de phishing é o senhasegura GO Endpoint Manager, que permite proteger computadores conectados remotamente a endpoints Windows e Linux. 

Essa ferramenta:

• Permite controlar listas de ações autorizadas, notificadas e bloqueadas para cada usuário, reduzindo ameaças relacionadas à instalação de softwares maliciosos e abuso de privilégio;
• Garante conformidade com regulamentações como PCI, ISO, SOX, GDPR e NIST;
• Possibilita o provisionamento e revogação de acesso de usuários locais privilegiados, sem precisar instalar qualquer agente no dispositivo alvo;
• Registra todas as solicitações de uso de credenciais administrativas em logs de sessão; e
• Permite a segregação de acesso à informações confidenciais, isolando ambientes críticos e correlacionando ambientes.

Sobre o senhasegura

O senhasegura garante a soberania digital das organizações. Isso porque atua evitando a rastreabilidade de ações e perda de informações em dispositivos, redes, servidores e bancos de dados.

Nossos serviços também são úteis para colocar nossos clientes em conformidade com critérios de auditoria e com padrões rigorosos, como PCI DSS, Sarbanes-Oxley, ISO 27001 e HIPAA.

Conclusão

Nesse artigo, você viu o que é phishing, como funciona esse ataque cibernético, quais os diferentes tipos de phishing e como identificá-los. Também mostramos as funcionalidades do senhasegura GO Endpoint Manager e como ele contribui para evitar essa ameaça.  

Precisa dessa solução em sua empresa? Entre em contato conosco.

LEIA TAMBÉM NO BLOG DO SENHASEGURA

ISO 27001: 4 motivos para implantar na sua empresa

O que fazer para evitar ataques de Engenharia Social?

As 5 maiores ameaças cibernéticas para organizações de saúde