Phishing é um tipo de crime cibernético em que os criminosos se apresentam como uma fonte confiável através do on-line para atrair as vítimas e as fazem fornecer informações pessoais, como nomes de usuário, senhas ou números de cartão de crédito.
Um ataque de phishing pode assumir várias formas e, embora muitas vezes ocorra por e-mail, há vários métodos diferentes que os golpistas usam para realizar seus esquemas. Os ataques são reais e intensos, o phishing continua a evoluir em sofisticação e superioridade. Embora o objetivo de qualquer esquema de phishing seja sempre o roubo de informações pessoais, existem muitos tipos de phishing diferentes dos quais você deve ter conhecimento nos dias de hoje para saber se proteger.
Os 5 tipos de phishing
1. Phishing de e-mail
Provavelmente o tipo mais comum de phishing, esse método geralmente envolve uma técnica de “espalhar e rezar para funcionar”, na qual os hackers se fazem passar por uma identidade ou organização legítima e enviam e-mails em massa para quantos endereços puderem.
Esses e-mails costumam ser escritos com um senso de urgência, informando ao destinatário que uma conta pessoal foi comprometida e que ele deve responder imediatamente. Seu objetivo é obter uma determinada ação da vítima, como clicar em um link malicioso que leva a uma página de login falsa. Depois de inserir suas credenciais, as vítimas, infelizmente, entregam suas informações pessoais diretamente nas mãos do golpista.
Exemplo de e-mail phishing
Um provedor de saúde dos EUA relatou um ataque de phishing que ocorreu em dezembro de 2020 uma empresa que fornece serviços de saúde domiciliares, após a invasão de computador não autorizada visando dois funcionários. O invasor teve acesso às contas de e-mail dos funcionários, resultando na exposição de detalhes pessoais de mais de 100.000 pacientes idosos, incluindo nomes, datas de nascimento, informações financeiras e bancárias, números de Seguro Social, números de carteira de motorista e informações de seguro. O invasor manteve o acesso não autorizado por uma semana inteira antes que a empresa de saúde pudesse conter totalmente a violação de dados.
2. Spear Phishing
Em vez de usar o método “espalhar e orar” conforme descrito acima, o spear phishing envolve o envio de e-mails maliciosos para indivíduos específicos dentro de uma organização. Em vez de enviar e-mails em massa para milhares de destinatários, esse método se destina a determinados funcionários de empresas especificamente escolhidos. Esses tipos de e-mails costumam ser mais personalizados para fazer a vítima acreditar que tem um relacionamento com o remetente, ou seja, com o golpista.
Exemplo de Spear Phishing
Uma empresa de proteção as comunicações corporativas por e-mail, relatou um ataque de spear phishing em setembro de 2019 contra um executivo de uma empresa nomeada uma das 50 maiores empresas inovadoras do mundo. O e-mail continha um anexo que parecia ser um relatório financeiro interno, que levou o executivo a uma página de login falsa do Microsoft Office 365. A página de login falsa já tinha o nome de usuário do executivo pré-inserido na página, aumentando ainda mais o disfarce da página da web fraudulenta.
3. Peixe grande
A caça às baleias grande se assemelha muito ao spear phishing, mas em vez de perseguir qualquer funcionário de uma empresa, os golpistas visam especificamente os executivos seniores (ou “o peixe grande”, daí o termo caça às baleias). Isso inclui o CEO, CFO ou qualquer executivo de alto nível com acesso a dados mais confidenciais do que os funcionários de nível inferior. Frequentemente, esses e-mails usam uma situação de alta pressão para fisgar suas vítimas, como retransmitir uma declaração da empresa que está sendo processada. Isso estimula os destinatários a clicar no link ou anexo malicioso para obter mais informações.
Exemplo de caça ao Peixe grande
Em novembro de 2020, Tessian relatou um ataque de caça às baleias contra o cofundador do fundo de hedge australiano Levitas Capital. O cofundador recebeu um e-mail contendo um link falso do Zoom que plantou malware na rede corporativa do fundo de hedge e quase causou uma perda de US $ 8,7 milhões em faturas fraudulentas. O invasor acabou se safando com apenas $ 800.000, mas o dano à reputação resultante resultou na perda do maior cliente do fundo de hedge, forçando-o a fechar permanentemente.
4. Smishing
O phishing de SMS, ou smishing, utiliza mensagens de texto em vez de e-mail para realizar um ataque de phishing. Eles operam da mesma maneira que ataques de phishing baseados em e-mail: os invasores enviam textos de fontes que parecem ser legítimas (como empresas confiáveis) que contêm links maliciosos. Os links podem ser disfarçados como um código de cupom (20% de desconto no seu próximo pedido!) Ou uma oferta para a chance de ganhar algo como ingressos para shows e por ai vai.
Exemplo de Smishing
Em setembro de 2020, o correio dos EUA (USPS) relatou uma campanha de smishing. Os invasores enviaram mensagens SMS informando aos destinatários sobre a necessidade de clicar em um link para exibir informações importantes sobre uma entrega USPS que estava por vir. O link era malicioso na verdade e levou as vítimas a várias páginas da web projetadas para roubar as credenciais da conta do Google dos visitantes.
5. Vishing
Vishing – também conhecido como phishing de voz – é semelhante a smishing, pois um telefone é usado como veículo para o ataque, mas que em vez de explorar as vítimas por mensagem de texto, é feito com uma ligação telefônica. Uma chamada de vishing muitas vezes retransmite uma mensagem de voz automática do que parece ser uma instituição legítima, como um banco ou uma entidade do governo.
Os invasores podem alegar que você deve uma grande quantia em dinheiro, seu seguro do automóvel expirou ou seu cartão de crédito tem atividades suspeitas que precisam ser corrigidas imediatamente. Nesse ponto, a vítima geralmente é informada que deve fornecer informações pessoais, como o número do cartão de crédito, a fim de verificar sua identidade antes de tomar qualquer medida em relação a qualquer reclamação que esteja sendo feita.
Exemplos de Vishing
Em setembro de 2020, uma organização de saúde relatou um ataque de vishing que envolvia pacientes que recebiam ligações de indivíduos disfarçados de funcionários. Os invasores tinham como objetivo extrair dados pessoais de pacientes e membros da Spectrum Health, incluindo números de identificação de membros e outros dados pessoais de saúde associados às suas contas. A Spectrum Health relatou que os invasores usaram medidas como elogios ou mesmo ameaças para pressionar as vítimas a entregar seus dados, dinheiro ou acesso a seus dispositivos pessoais.
Dicas para detectar e prevenir ataques de phishing
Uma das melhores maneiras de se proteger de um ataque de phishing é estudar exemplos de phishing em ação. Este guia da FTC é útil para entender o que procurar ao tentar detectar um ataque de phishing, bem como as etapas que você pode seguir para relatar um ataque à FTC e mitigar futuras violações de dados. Em geral, lembre-se destes sinais de aviso para descobrir um possível ataque de phishing:
- Um e-mail pede que você confirme informações pessoais: se você receber um e-mail que parece autêntico, mas aparece do nada, é um forte sinal de que é uma fonte não confiável.
- Gramática ruim: palavras com erros ortográficos, gramática inadequada ou uma frase estranha são sinais de alerta imediato de uma tentativa de phishing. Para evitar isso, verifique o texto com um verificador de gramática; se ele detectar vários erros de gramática, nunca confie na mensagem e no remetente.
- Mensagens sobre uma situação com alta pressão: se uma mensagem parece ter sido projetada para fazer você entrar em pânico e agir imediatamente, tenha cuidado – essa é uma manobra comum entre os cibercriminosos.
- Links ou anexos suspeitos: se você recebeu uma mensagem inesperada pedindo para abrir um anexo desconhecido, nunca faça isso, a menos que tenha certeza absoluta de que o remetente é um contato legítimo.
- Ofertas boas demais para serem verdadeiras: se você está sendo contatado sobre o que parece ser uma oferta única na vida, provavelmente é falso.
A melhor linha de defesa contra todos os tipos de ataques de phishing e ciberataques em geral é ter certeza de que você está equipado com um antivírus confiável, ter um backup de seus arquivos. No mínimo, aproveite o software antivírus para se proteger melhor de criminosos online e manter seus dados pessoais seguros.