Mailfence logo

Engenharia Social: O que é a Phishing?

Sumário

Compartilhe este artigo:

Engenharia Social: O que é Phishing?
Engenharia Social: O que é Phishing?

Segundo o National Institute of Standards and Technology (NIST), o número de casos de phishing tem aumentado a cada ano. Em 2022, o aumento foi de 61% em relação ao ano anterior. Estas estatísticas mostram a prevalência do phishing e a importância de saber evitá-lo. Pensando nisso, preparamos este artigo explicando o que é phishing, como ele funciona e como indivíduos e empresas podem se proteger contra ele. 

O que é phishing?

Mas afinal, o que é phishing? O phishing é uma das formas mais conhecidas de engenharia social. A prática envolve a utilização de métodos enganosos para “fisgar” e convencer as vítimas a compartilhar informações confidenciais, como nomes de usuário, senhas e dados de cartão de crédito. Daí o nome “phishing”, que significa “pescaria” em português.

Na maioria dos casos, a propagação dos ataques de phishing acontece principalmente via email. Entrando, algumas variações acontecem via chamada de voz e até mesmo SMS.

Táticas de manipulação 

Para ganhar a confiança das vítimas, os cibercriminosos especializados em golpes de phishing e engenharia social utilizam uma série de táticas de manipulação. Algumas delas são:

  • O roubo de identidade de pessoas e organizações, como colegas de trabalho e bancos;
  • A utilização de links para sites fraudulentos configurados para obter as credenciais do usuário;
  • Arquivos aparentemente úteis e inofensivos infectados com softwares maliciosos.

Neste último caso, o arquivo pode conter:

Tipos de phishing

Existem vários tipos de phishing em engenharia social, dependendo da tática utilizada pelo cibercriminoso. Os principais exemplos são:

  • Phishing clássico: Os cibercriminosos enviam campanhas de email em massa para usuários aleatórios. As mensagens podem conter links para um sites fraudulentos configurados para obter as credenciais do usuário, ou arquivos maliciosos desenvolvidos para infectar seus dispositivos.
  • Spear Phishing: Um tipo de phishing cujo alvo são organizações e indivíduos específicos
  • Smishing: Um ataque de phishing propagado via mensagens de texto ao invés de emails. Daí o nome, que combina as palavras SMS+phishing.
  • Vishing: Para aplicar este tipo de phishing o cibercriminoso utiliza a sua voz (telefonema, correio de voz, etc.) para manipular a vítima. 
  • Whaling: Um ataque cujo alvo são “peixes grandes”, como executivos e gerentes de uma organização. As vítimas são induzidas a fazer grandes transferências de dinheiro ou a compartilhar informações confidenciais sobre a empresa para qual trabalham.

Como reconhecer um ataque de phishing?

Além da instalação de um bom filtro anti-spam, a melhor forma de evitar os ataques de phishing é saber como identificá-los. 

Erros ortográficos costumam ser um bom indicador de que a mensagem é uma tentativa de golpe. No entanto, os ataques de phishing tem se tornado cada vez mais sofisticados e atualmente a maioria dos emails são escritos com perfeição.

A solução é focar em outros sinais que frequentemente revelam tentativas de golpe:

  • Hyperlinks disfarçados: Desenvolva o hábito de passar o mouse sobre quaisquer hyperlinks recebidos por email ou SMS para ter certeza de que você será levado para um site confiável.
  • Links para sites suspeitos: Seja especialmente cauteloso com sites de “outlets” e “promoções” aparentemente vinculados a portais de varejo legítimos. Estes tipos de site são comumente criados por cibercriminosos para enganar as vítimas.  
  • Ameaças: Os cibercriminosos costumam utilizar ameaças para induzir suas vítimas a agir sem pensar. Alertas sobre serviços que estão prestes a ser cancelados devido a inação do usuário e notificações sobre o comprometimento de contas bancárias estão entre as formas mais comuns de ameaça.
  • Falsificação de identidade: Ao receber uma mensagem enviada por pessoas ou entidades aparentemente confiáveis, fique atento aos seguintes sinais de fraude:
    • Solicitações de informações pessoais;
    • Brindes e recompensas para as quais você não deveria ser elegível;
    • Sorteios e promoções para as quais você não se cadastrou (ações não solicitadas). 

Na dúvida, todo email deve ser considerado suspeito. Isso inclui mensagens enviadas por entidades aparentemente confiáveis, como instituições de caridade e agências governamentais. Para fabricar cenários de urgência, os invasores também podem se aproveitar de eventos atuais e sazonais como:

  • Desastres naturais (como terremotos, furacões, etc.); 
  • Epidemias e ameaças de saúde (ex.: Covid-19); 
  • Preocupações econômicas (ex.: inflação); 
  • Eleições e eventos políticos (ex.: guerra na Ucrânia); 
  • Promoções de varejo; 
  • Feriados.

Como evitar o phishing

Agora que você sabe o que é phishing, é hora de aprender como evitar este tipo de ameaça:

  1. Desconfie de pedidos de informações pessoais. Especialmente se as informações solicitadas forem de caráter financeiro. Organizações legítimas não solicitam este tipo de informação por email, telefone ou outros meios. Fique atento ao email do remetente. Como já mencionado, os cibercriminosos costumam utilizar endereços falsificados (spoofing) para enganar suas vítimas.
  2. Jamais abra anexos suspeitos. Não caia no falso senso de urgência fabricado pelos criminosos. Ao receber um arquivo não solicitado, entre em contato com o remetente para verificar a sua legitimidade. 
  3. Tenha cuidado com solicitações de aparência genérica. Emails fraudulentos costumam ser genéricos, sem qualquer tipo de personalização. A mensagem geralmente começa com “Caro senhor/senhora”, ou outras saudações/assinaturas genéricas. Outros, parecem ter sido enviados por instituições com as quais você não possui qualquer tipo de vínculo. 
  4. Não compartilhe informações pessoais por meio de formulários incorporados em mensagens de email. Esta é uma técnica de phishing bastante utilizada por cibercriminosos para obter senhas e dados bancários.
  5. Não utilize links incorporados no texto do email. Ao invés disso, abra uma nova janela no seu navegador e digite o endereço diretamente na barra de pesquisas. Os sites de phishing costumam ser parecidos com o original, mas de modo geral podem ser facilmente identificados. Endereços como https://wwwpaypal.com/ (sem ponto) e https://www.paypaI.com/ (com “i” maiúsculo ao invés de um “L” minúsculo), por exemplo, são diferentes do original https://www.paypal.com/.

Outras dicas de proteção

  1. Proteja os seus dispositivos de forma adequada para combater o phishing. Mantenha o seu software antivírus atualizado e utilize serviços de criptografia seguros, como o Mailfence, para proteger ainda mais a sua privacidade.
  2. Utilize gerenciadores de senha e mantenha o preenchimento automático habilitado. Se o gerenciador de senha se recusar a preencher automaticamente o campo de senha, é provável que você esteja no site errado. Confira este artigo para saber como proteger melhor as suas senhas.
  3. Desconfie de ofertas imperdíveis (“Você ganhou um prêmio! Clique aqui para resgatá-lo”), avisos urgentes (“Evite o cancelamento da sua conta”) e outros cenários suspeitos. Na dúvida, abra o seu navegador, acesse o site da empresa e faça login normalmente para conferir se há algum sinal de atividade estranha. Se estiver preocupado, altere sua senha.
  4. Utilize autenticação de dois fatores (2FA) sempre que a opção estiver disponível para fortalecer a segurança da sua conta.
  5. Verifique links suspeitos antes de abri-los. Aqui estão algumas ferramentas úteis para a verificação de links: Where Goes, Redirect Detective, Internet Officer, Redirect Check, URL2PNG, Browser Shots, Shrink The Web, Browserling.
  6. Finalmente, fique por dentro das últimas tendências de cibersegurança. Você pode começar lendo nosso curso de conscientização sobre privacidade e segurança de e-mail. Ele é simples, acessível e bastante informativo.

O que fazer se você for vítima de phishing?

Se você foi vítima de um ataque de phishing, confira nosso artigo sobre como identificar e recuperar emails hackeados

Você também pode denunciar as tentativas de phishing no Google Safe Browsing.

Phishing e engenharia social: Tendências para 2023 

Atualmente, boa parte dos golpes de phishing e engenharia social são aplicados por grandes organizações criminosas, com recursos suficientes para aprimorar suas técnicas de invasão e manipulação constantemente. Como resultado, os golpes cibernéticos têm se tornado cada vez mais sofisticados e difíceis de identificar.

Aqui estão as principais tendências de phishing para 2023:

1 – Os dispositivos móveis e canais de comunicação pessoal, como redes sociais, WhatsApp e SMS, são utilizados com cada vez mais frequência pelos cibercriminosos na abordagem das vítimas.

2 – O spoofing de marcas e outras entidades fica cada vez mais sofisticado e difícil de identificar.

3 – Aa campanhas de spear phishing exigem muita preparação. Por este motivo, os hackers investem em alvos de alto perfil profissional e financeiro. A constante otimização das técnicas de phishing também expõe pequenas empresas a este tipo de ameaça. 

4 – Os hackers procuram obter acesso a sistemas em nuvem.  

5 – Os cibercriminosos estão cada vez mais dispostos a pagar pelo acesso às credenciais do usuário. 

6 – Graças ao RaaS (Ransomware as a service), as técnicas de phishing podem ser utilizadas até mesmo pelos cibercriminosos menos experientes. Mediante o pagamento de uma taxa, o RaaS disponibiliza uma caixa de ferramentas completa, com todos os serviços necessários para o lançamento de ataques de ransomware.

7 – Cibercriminosos, conhecidos como initial access brokers ou IABs, se especializam na obtenção de credenciais de login ou e-mail. Eles tentam roubar estas informações invadindo os sistemas de TI de empresas ou organizações. Os dados roubados são então vendidos para outros criminosos e utilizados para lançar ataques de phishing mais direcionados e, potencialmente, mais perigosos.

Conclusão

Os cibercriminosos, muitas vezes apoiados por governos ou organizações muito poderosas, agem de forma cada vez mais ágil e criativa. A todo momento surgem novas táticas e recursos de phishing e engenharia social.

Ao mesmo tempo, os usuários estão conectados a um número cada vez maior de dispositivos, o que torna a sua segurança online cada vez mais vulnerável. Ou seja, nunca foi tão importante estar em dia com as melhores técnicas de cibersegurança.

O bom senso ainda é a melhor forma de evitar os golpes de engenharia social. Por isso, é importante que você fique atento aos sinais de alerta, pense duas vezes antes de clicar em um link ou anexo suspeito e jamais forneça sua senha ou informações financeiras a estranhos pela internet.

Você também pode utilizar um pacote de email privado e seguro, como o Mailfence. Ele foi desenvolvido para ajudar você a se proteger contra as principais ameaças cibernéticas e violações de privacidade, incluindo phishing. Além de uma conta de email com criptografia de ponta-a-ponta, oferecemos assinaturas digitais, autenticação de dois fatores e um pacote empresarial colaborativo.

Ficou interessado? Experimente a nossa conta gratuita e comece sua jornada rumo a comunicações mais seguras agora mesmo.

Recupere sua privacidade de e-mail.

Crie seu e-mail gratuito e seguro hoje.

M Salman Nadeem

M Salman Nadeem

Salman trabalha como analista de segurança da informação na Mailfence. Suas áreas de interesse incluem criptografia, arquitetura e design de segurança, controle de acesso e segurança de operações. Você pode segui-lo no LinkedIn @mohammadsalmannadeem

Recomendado para você