De acordo com o relatório “Spam e phishing em 2022”, da Kaspersky, o Brasil é o país mais atacado por phishing pelo WhatsApp do mundo, com mais de 76 mil tentativas de fraude na plataforma. O cenário fica ainda mais alarmante quando o estudo destaca que a distribuição de mensagens maliciosas pelo aplicativo de comunicação cresceu vertiginosamente, sendo a maior parte delas lançadas no WhatsApp (82,71%), Telegram (14,12%) e Viber (3,17%).
Embora tais apps liderem a posição no mau desempenho do país nesse quesito, o phishing pode ocorrer em diversas outras plataformas, como SMS, e-mail e até por telefonemas.
Neste artigo, vamos conversar sobre o que é phishing, seus principais tipos e como uma capacitação em segurança da informação pode otimizar a carreira de um profissional de TI que deseja se especializar nesse ramo.
Para que serve a segurança da informação?
Para falar de um dos principais riscos da segurança da informação, é preciso compreender seu conceito. De maneira geral, a segurança cibernética representa o conjunto de ferramentas e estratégias digitais que garantem a segurança dos dados virtuais de uma empresa. Portanto, são as maneiras encontradas ou mecanismos usadospara minimizar os riscos de ameaça digital, além de estratégias para garantir a plena vida dos dados de uma organização sem que estes sofram influências externas, como vírus, invasões e outras formas de ataque cibercriminoso.
Para isso, ou seja, para uma boa segurança da informação e um resguardo eficiente de dados, tais articulações se valem de alguns pilares essenciais que você confere logo abaixo.
Pilares da segurança da informação
Confidencialidade
Quando se fala em segurança da informação e em como evitar os riscos de desestabilização da cibersegurança, deve-se compreender que ela tem a confidencialidade como pilar desenvolvedor.
De forma direta, o termo refere-se à garantia de que agentes sem autorização não terão acesso aos dados institucionais.
Disponibilidade
Significa dizer que os dados devem estar disponíveis de acordo com a necessidade. Sempre que a demanda existir, deve ser possível acessá-los.
Integridade
Funciona como um tipo de certificação de que uma informação, uma vez armazenada, não poderá sofrer quaisquer tipos de alteração.
Autenticidade
O último pilar que envolve a cibersegurança é a capacidade de assegurar que a informação é verdadeira. Ou seja, a garantia de que certa informação pertence a A ou a B e determinar uma autoria específica, provando que o objeto avaliado não tenha passado por alguma alteração indevida.
O que são fraudes cibernéticas?
As fraudes cibernéticas, dentre as quais o phishing está enquadrado, podem envolver tanto brechas nos processos externos quanto internos. De maneira resumida, elas representam ataques às informações exclusivas do negócio ou de seus clientes, parceiros ou colaboradores. Por exemplo, há a possibilidade de documentos internos serem alterados e ocorrer fraude por parte dos próprios funcionários da organização. Por outro lado, os clientes e colaboradores podem ter seus dados corrompidos por meio de phishing e malwares.
Portanto, fraudes cibernéticas são alterações de informação ou subtração de dados e identidade on-line de qualquer agente envolvido com a empresa, por meio de práticas ilícitas que ameaçam a segurança de rede das organizações.
Afinal, o que são ataques phishing?
O phishing, palavra derivada de “fishing”, em inglês, e que em português é lida como “pescaria”, é um risco de segurança da informação no qual o agente mal-intencionado elabora uma isca para que os usuários executem ações maliciosas sem se darem conta.
Normalmente, a prática ocorre por meio do disparo de e-mails ou, como vimos anteriormente, em aplicativos de mensagens instantâneas, redes sociais ou páginas falsas de web, que se assemelham à comunicação legítima de empresas, organizações ou indivíduos confiáveis.
O principal objetivo dessa ameaça é captar a atenção do usuário, por intermédio de técnicas de manipulação, e, dessa maneira, conseguir distribuir anexos, além de links maliciosos capazes de executar diversas funções indevidas nos servidores que colocam toda a rede em alerta.
Por meio do phishing, cibercriminosos também podem realizar a extração de informações das contas das vítimas, bem como de credenciais de login usados para fins ilícitos, como roubo de identidade, fraude financeira ou acesso não autorizado a sistemas.
Os seis principais tipos de ataque phishing
Existem diversas formas para a execução de um ataque phishing, e conhecê-las é a principal ferramenta para driblar esse tipo de ocorrência – seja em uma dinâmica individual, seja como estratégia corporativa.
1) E-mail phishing ou blind phishing
Esta é uma das formas mais comuns de phishing, pela qual os atacantes enviam e-mails falsos que se parecem com comunicação autêntica de empresas conhecidas, organizações financeiras ou serviços on-line.
O e-mail geralmente contém links para páginas falsas que solicitam aos usuários que insiram informações pessoais ou credenciais de login. Também é comum que essas mensagens contenham anexos maliciosos que, quando abertos, infectam o sistema do usuário.
A metodologia aplicada é enviar o ataque em massa e contar com a probabilidade de algum usuário cair na isca.
2) Spear phishing
Nesse tipo de ataque, os golpistas direcionam seus esforços a um grupo específico de indivíduos, a uma organização ou até a um usuário certo, com o propósito de obter informações privilegiadas e sigilosas.
Para isso, há a personalização de e-mails ou mensagens para parecer, muitas vezes, que o conteúdo ali contido é verdadeiro.
Os cibercriminosos que fazem uso dessa modalidade encontram grande parte das informações sobre os alvos disponíveis publicamente. Com isso, modificam e personalizam textos e imagens para aumentar a probabilidade de sucesso do ataque.
3) Whaling
Esse tipo de ataque de phishing está relacionado com o termo “whale”, que em inglês significa baleia. Em outras palavras, o whaling quer dizer que o cibercriminoso tem como alvo executivos e indivíduos de alto escalão em uma organização.
Os whalings são modelos de ataque sofisticados que visam obter informações valiosas ou acesso privilegiado à empresa, sendo altamente prejudiciais para a segurança corporativa. Normalmente, eles se apresentam como intimações judiciais ou notificações de endomarketing da própria empresa.
4) Pharming
Nesse método, os golpistas comprometem servidores DNS ou usam malwares para redirecionar os usuários para sites falsos, mesmo quando eles digitam corretamente o endereço da página legítima. Assim, os usuários são levados a acreditar que estão visitando um site confiável, quando, na verdade, estão fornecendo informações aos criminosos.
5) Vishing
Também conhecido como phishing de voz, esse tipo de ataque é realizado por meio de ligações telefônicas. Nesses casos, os atacantes fingem ser representantes de uma empresa legítima, como bancos ou instituições governamentais, e tentam enganar os usuários para que forneçam informações pessoais por telefone.
6) Smishing
Muito comum, esse tipo de ataque de phishing é realizado por meio de SMS. Geralmente, as mensagens de SMS contêm informações atrativas, como uso de cartão de crédito, dívidas ou oportunidades de emprego, que impulsionam o usuário a clicar no link oferecido. Com isso, os cibercriminosos conseguem extrair informações e até valores dos afetados.
Qual é a postura indicada de um profissional de TI diante dos ataques de phishing?
Nenhuma medida isolada é suficiente para proteger uma empresa ou os funcionários dessa organização contra todas as ameaças de phishing. Por isso, é indicado que os negócios e gestores de TI elaborem uma abordagem de segurança da informação e da rede em camadas, combinando várias estratégias e tecnologia para manter um alto nível de segurança cibernética capaz de driblar essas ameaças cada vez mais sofisticadas.
Embora cada equipe de TI possa desenvolver uma tática própria para lidar com fraudes e as demais ameaças à rede, existem boas práticas que os profissionais da área podem seguir para mitigar o potencial desses incidentes, sobretudo dos ataques de phishing.
- Conscientização e treinamento: uma cultura de segurança cibernética dentro da organização é indispensável para barrar qualquer tipo de evento de ameaça. Realizar treinamentos regulares para os funcionários, com abordagem dos conceitos de phishing, de como identificar ataques, evitar clicar em links suspeitos e relatar tentativas de phishing, é uma excelente alternativa. Quanto mais conscientes estiverem os usuários, menor será a probabilidade de um ataque ser bem-sucedido.
- E-mails e filtros anti-spam: outra medida importante para as áreas de TI é implementar soluções de filtragem de e-mails e anti-spam para identificar e bloquear mensagens maliciosas antes que elas alcancem as caixas de entrada dos usuários. Muitos ataques de phishing são distribuídos por e-mail, e um bom filtro anti-spam pode reduzir significativamente o número de itens suspeitos.
- Verificação de domínios: a configuração de sistemas de autenticação de e-mails, como o Sender Policy Framework (SPF) e o Domain Keys Identified Mail (DKIM), para verificar a autenticidade dos remetentes, pode ajudar a prevenir ataques de spoofing. Nesses casos, os atacantes fingem ser domínios legítimos.
- Monitoramento de tráfego de rede: utilizar ferramentas de monitoramento de tráfego de rede para identificar padrões incomuns que possam ser indicativos de ataques de phishing ou tentativas de comunicação com servidores maliciosos.
- Bloqueio de sites maliciosos: listas de bloqueio de sites maliciosos contribuem para que os usuários não acessem páginas conhecidas por hospedar ataques de phishing ou distribuir malware.
- Atualizações de software: é indispensável manter todos os sistemas e softwares atualizados com as últimas correções de segurança. Muitos ataques de phishing exploram vulnerabilidades conhecidas em softwares desatualizados. Assim, criar uma rotina de atualizações e de verificação daquelas que faltam ser realizadas na empresa é uma solução simples e prática contra esse modelo de ameaça.
- Política de senhas fortes: outro destaque é dado à implementação de uma política de senhas fortes que demanda o uso de palavras-chave complexas e regulares trocas. Isso dificulta o acesso não autorizado a contas por meio de ataques de phishing.
- Autenticação multifator (MFA): sempre que possível, é indicado introduzir a autenticação multifator para acessar sistemas e serviços críticos. O MFA adiciona uma camada extra de segurança, mesmo que as credenciais do usuário sejam comprometidas.
- Monitoramento de contas: um sistema de monitoramento de contas e alertas para detectar atividades suspeitas, como múltiplas tentativas de login, logins de locais não usuais ou acesso fora do horário padrão, é considerado boa prática que um departamento de TI pode adotar.
- Desenvolver e praticar um plano de resposta a incidentes que inclua procedimentos claros para lidar com ataques de phishing é uma das principais obrigações de times de segurança da informação e de segurança de rede. Com essa ação, há como minimizar o impacto de qualquer evento caso ocorra um incidente.
Em resumo
No contexto de um mundo cada vez mais conectado e digital, lidar com ataques de phishing ou outros cibercrimes continua sendo um enorme desafio para as empresas e as áreas ligadas à tecnologia.
Como profissional de TI, você desempenha um papel crucial na mudança desse cenário. Ainda que o objetivo preponderante de uma medida anticrimes virtuais seja a proteção da infraestrutura de TI, a educação contínua dos usuários é igualmente indispensável. Para isso, o departamento de TI deve estar capacitado para liderar abordagens pautadas em um conceito de lifelong learning (aprendizado para toda a vida), direcionadas para os demais setores dos negócios.