Dicas & Conselhos
Phishing - O que é e como deve proteger-se
Os esquemas de phishing são estratégias de crescente credibilidade para furtar dados e provocar ações maliciosas e sistemas de clientes. Saiba aqui como prevenir.
Phishing é o nome dado a um crime cibernético para obter, de forma fraudulenta ou enganosa, dados confidenciais para utilizações ilícitas.
Estes procedimentos criminosos são desenvolvidos através de mensagens de e-mail ou mensagens instantâneas falsas que encaminham para sites também eles falsos mas com um aspecto muito semelhante às comunicações reais feitas normalmente pela entidade em causa. O phishing é um bom exemplo de técnicas de engenharia social utilizadas para a atração de utilizadores baseadas na confiança que esses utilizadores tenham em serviços bancários, redes sociais, ou serviços governamentais.
Este tipo de ataques tem efeitos muito diversos que dependem das intenções dos atacantes, podendo incluir desde o roubo da identidade até ao roubo de dinheiro e qualquer outro tipo de informações de caráter privado.
Numa forma mais rebuscada, os phishers podem mesmo investir na criação de perfis falsos em redes sociais para criar uma relação de confiança que cative mais facilmente a vítima do ataque.
O phishing pode assumir várias formas e modelos, das quais se destacam:
- E-mail: A vítima recebe um e-mail com links que podem levar a sites maliciosos, que coloquem malware no equipamento de acesso do cliente ou que provoquem a recolha de dados sensíveis;
- Sites falsos: Ao aceder a estes sites, e uma vez recolhidas as informações pretendidas, os hackers podem depois usurpar a identidade para aceder a redes sociais, a informações bancárias ou a outro tipo de dados sensíveis e cuja utilização pode significar sérios compromissos para o legítimo titular;
- Nas redes sociais: Com a utilização de nomes, imagens e outras informações idênticas aos perfis reais, os atacantes podem criar perfis muito semelhantes e difundir mensagens maliciosas, transferir software malicioso ou mesmo personificar o atacante perante terceiros;
- Chamadas de voz: A utilização de chamadas de voz é utilizada para tentar obter informações particulares através de telefone. Estas chamadas poderão ser feitas por um operador ou por um sistema automático.
Nos e-mails, o suporte frequentemente utilizado para a execução deste tipo de esquemas, podem enumerar-se um conjunto de características que facilitam a detecção da fraude e a tomada de ações defensivas de forma mais rápida e eficaz.
Estas caraterísticas podem passar por mas não se limitando a:
- Inesperado - Trata-se de um e-mail que sai fora da rotina do utilizador. Não corresponde a qualquer ação cuja participação do utilizador seja esperada;
- Erros ortográficos - Este tipo de e-mails pode conter alguns erros gramaticais ou algumas deficiências de formatação próprias de aplicação direta de softwares de idiomas não nativos;
- Não têm informação pessoal - Geralmente, a informação apresentada é genérica e não identifica especificamente o destinatário da comunicação. Lembre-se que o objetivo do e-mail é precisamente obter informação pessoal da vítima;
- Facilitam ações imediatas - Facilitam em demasia as ações pretendidas - ir a um site, abrir um anexo ou dar informações relevantes;
- Têm um grau crescente de semelhança - Parecem-se cada vez mais com as fontes oficiais que tentam emular, aumentando a eficiência dos seus propósitos.
Há um conjunto de ações que podem ser tomadas no sentido de minimizar os efeitos nefastos do phishing. A implementação destes procedimentos implicam algumas mudanças de atitude por parte dos utilizadores que, no entanto, podem significar grandes ganhos no que diz respeito à segurança dos dados da empresa perante ataques cada vez mais facilitados e generalizados.
Estas ações deverão ser adaptadas a cada organização e podem passar por:
- Análise prévia de e-mails suspeitos: Antes de abrir links ou descarregar anexos de e-mails que não conheça e que apelem a ações emocionais imediatas, analise essas mensagens uma segunda vez e se as dúvidas sobre o objetivo permanecerem, elimine-as. Em caso de imperativa necessidade poderá fazer uma nova mensagem de email - sem utilizar a funcionalidade de resposta - para o endereço identificado no envio deste email e verificar a pertinência do envio anterior.
- Nunca forneça dados pessoais ou credenciais de segurança por e-mails duvidosos: Outras entidades ou empresas e especialmente bancos e outras entidades gestoras de dados sensíveis que estejam ativamente empenhados em combater estas práticas nunca pedem dados sensíveis por e-mail. Na raríssima e censurável possibilidade de tal acontecer, deverá solicitar confirmação da necessidade de tal acontecer através de uma comunicação independente (outro email, por exemplo).
- Altere as suas passwords regularmente: A prática de alteração regular de passwords é um ponto muito importante na segurança digital de uma empresa. Mesmo que, por alguma falha de segurança, as suas credenciais de acesso sejam acedidas indevidamente, se elas já não estiverem a funcionar, os prejuízos deverão ser diminutos.
- Crie passwords com vários elementos e de dificuldade elevada: Quanto mais específica for a password utilizada para cada serviço online, mais difícil será descobri-la. Para que tal aconteça deverá fazer uso de caracteres maiúsculos, minúsculos, símbolos e números, assim como um elevado conjunto de caracteres.
- Utilize um software antivírus e anti malware atualizado: Quando forem passadas todas as barreiras, tenha ainda mais uma. Um programa de antivírus devidamente atualizado pode impedir ações danosas para o seu sistema de trabalho.
Estas e outras formas de, ilicitamente, conseguir informação alheia é punível por lei a estas práticas deverão ser denunciadas às autoridades competentes.
O e-mail também é provavelmente a forma mais comum de pessoas com intenções maliciosas acederem a informação sensível. Um clique num suporte errado pode mesmo fazer toda a diferença, pode ser o gatilho para permitir o download de um programa malicioso no seu computador sem que você saiba. Este programa pode, então, fazer mais de uma série de coisas maliciosas, como criptografar o seu disco rígido (e as outras unidades ligadas em rede), espiar o uso do seu computador para descobrir passwords.
Esses e-mails geralmente não são em resposta a um e-mail que você enviou (embora pareçam ser de alguém que você conhece) - eles não são solicitados, portanto, isso deve inicialmente causar suspeitas. Se tiver um anexo, isso deve soar os alarmes - muitos têm arquivos PDF ou Zip anexados que, quando abertos, executam um programa.
Se você não tiver certeza sobre um e-mail, entre em contato com o suporte técnico para obter aconselhamento.