Em relatório produzido pela Kaspersky, em 2020, a cada cinco brasileiros, um sofreu uma tentativa de phishing. Também de acordo com um mapeamento feito pela ClearSale, em 2022, o país registrou 5,6 milhões de tentativas de fraudes, entre elas, o phishing.

Esses dados posicionam o Brasil em uma colocação nada privilegiada no ranking de países que mais sofrem ataques cibernéticos. Isso é bastante preocupante, uma vez que ataques como o phishing podem comprometer a imagem e a segurança dos dados privados das organizações.

Por isso, é essencial entender como funciona esse ataque e que práticas e tecnologias devem ser utilizadas para se proteger. Neste artigo, vamos compartilhar algumas dicas indispensáveis sobre o assunto!

O que é phishing — entenda essa ameaça perigosa

Phishing é um tipo de crime cibernético em que alguém se passa por uma instituição legítima para enganar as pessoas e obter dados sensíveis, como informações pessoais, bancárias, de cartão de crédito e senhas. Esses dados são usados para acessar contas importantes e podem resultar em roubo de identidade e perda financeira.

Phishing é uma prática bastante eficiente na mão de cibercriminosos porque explora a vulnerabilidade humana e a confiança nas marcas e organizações.

Nesses casos, os criminosos usam técnicas de engenharia social, como ofertas tentadoras, mensagens urgentes, links falsos, anexos maliciosos e remetentes falsos para persuadir as vítimas a clicar, abrir ou responder aos seus golpes. Muitas vezes, os golpes de phishing são bem elaborados e imitam sites reais, dificultando a detecção por parte dos usuários.

Conheça os principais tipos de phishing

Existem vários tipos de phishing, mas todos têm o mesmo objetivo: enganar as pessoas para obter seus dados.

Phishing por e-mail

Um e-mail que parece legítimo, mas contém um link ou um anexo malicioso que leva a um site falso ou instala um malware no computador da vítima.

Spear phishing

Mira em uma pessoa específica em uma organização, usando informações pessoais ou profissionais para tornar o e-mail mais convincente.

Vishing, ou phishing por voz

Aqui usa-se o telefone para se passar por alguém de confiança e tentar obter informações da vítima, como senhas ou números de cartão de crédito.

Smishing (SMS + Phishing)

Envia-se uma mensagem de texto com um link ou um código que induz a vítima a clicar ou responder, expondo seus dados ou instalando um malware em seu celular.

Pharming

O DNS (Domain Name System) de um site legítimo é alterado para redirecionar os usuários para um site falso, no qual podem roubar suas credenciais de acesso ou infectar seus dispositivos.

Pop-up phishing

Uma janela pop-up aparece em um site legítimo ou no navegador da vítima, alertando sobre algum problema de segurança ou outra questão para induzir a vítima a clicar ou fornecer informações.

Evil twin phishing (ou gêmeo malvado)

Uma rede Wi-Fi falsa que se parece com uma legítima é criada, como a de um café ou de um hotel, e intercepta os dados dos usuários que se conectam a ela.

Watering hole phishing

O cibercriminoso compromete um site que é frequentado por um grupo específico de pessoas, como funcionários de uma empresa ou membros de uma comunidade, e usa-o para lançar ataques direcionados contra essas pessoas.

Os tipos de ataques se modernizam sempre, e não é possível elencar todas as formas “criativas” que os cibercriminosos usam para enganar os usuários e roubar seus dados pessoais. Por isso, a chave é saber identificar um ataque de phishing quando se deparar com um. Saiba como!

Saiba reconhecer uma tentativa de phishing

Para reconhecer uma tentativa de phishing, é preciso estar atento a alguns sinais de alerta que podem indicar que o e-mail, a mensagem ou o site não são confiáveis. Alguns desses indícios claros são:

• Ofertas tentadoras e muito boas para ser verdade, como prêmios, descontos ou reembolsos, para atrair a atenção das vítimas e fazê-las clicar em links ou anexos maliciosos.
• Ameaça ou urgências, como dizer que sua conta será bloqueada, seu cartão será cancelado ou seu computador está infectado, para pressionar as vítimas a agir rapidamente sem verificar a fonte da mensagem.
• Erros de ortografia ou gramática.
• Endereços de e-mail ou números de telefone falsos ou parecidos com os de instituições legítimas, mas que apresentam alguma diferença sutil.
• Link ou anexo desconhecido, que você não estava esperando receber, mesmo que pareça ser de uma instituição conhecida.
• Solicitação de informações pessoais, como nome completo, CPF, número de cartão de crédito, senha ou código de segurança, por e-mail, mensagem ou telefone.
• Falta de personalização, com saudações do tipo “Prezado cliente” ou “Caro usuário”, em vez de usar o nome da vítima.

Muitos desses contatos podem parecer legítimos, mesmo porque alguns criminosos podem até estar em posse de suas informações pessoais, como nome e CPF (originados de algum vazamento de dados). Por isso, é sempre importante ter a certeza que a fonte do contato é legítima. Saiba como!

Entenda como se proteger

Para se proteger de uma tentativa de phishing, é preciso adotar algumas medidas de segurança e precaução, sejam ferramentas automatizadas, seja boas práticas de segurança. Veja só!

Instale softwares de segurança

Usar um software de segurança no seu computador e celular, e mantê-lo atualizado com as últimas versões e correções. O software de segurança pode bloquear o acesso a arquivos maliciosos, detectar e remover malwares e alertar sobre sites falsos ou perigosos.

Desconfie de anexos e links

Não clique em links ou anexos suspeitos em e-mails ou mensagens, mesmo que pareçam vir de fontes confiáveis. Verifique sempre o endereço do remetente e o conteúdo da mensagem antes de tomar qualquer ação.

Na dúvida, não clique no link e nem baixe nenhum arquivo. Primeiro, entre em contato com o e-mail ou telefone oficial fornecido pela instituição para obter mais informações.

Não forneça informações pessoais ou financeiras

A menos que você tenha iniciado o contato ou tenha certeza da identidade do destinatário, não informe suas informações pessoais por e-mail, mensagem ou telefone.  As instituições legítimas nunca pedem esse tipo de informação por esses meios.

Verifique a autenticidade dos sites que você visita

Não deixe de se certificar que a url (na barra de endereços) se inicia com “https” e se há um ícone de cadeado na barra de endereço. Isso indica que o site é seguro e criptografado. Também preste atenção se o domínio do site corresponde ao da instituição legítima. Nesse momento, fique atento às pequenas diferenças na grafia.

Use senhas fortes e diferentes para cada conta

Além de senhas fortes e não as repetir, altere-as com frequência. Você também pode usar um gerenciador de senhas para armazenar suas senhas de forma segura.

Outra dica é ativar a autenticação de dois fatores (2FA) nas suas contas online, sempre que possível. Isso adiciona uma camada extra de segurança, além da senha.

Para se proteger de tentativas de phishing, é fundamental se manter informado sobre as práticas bem comuns e adotar medidas de segurança avançadas. Isso protegerá seus dados pessoais e os de sua empresa.

Gostou do conteúdo? Então, não deixe de acompanhar nossa página do blog para conferir os novos posts. Entre em nossas redes sociais e nos siga. Assim, você não perde nada! Estamos no Facebook, no YouTube, no LinkedIn e no Instagram.