A revolução do digital introduziu uma nova realidade para todos os seus utilizadores, nomeadamente empresas e consumidores. A internet veio permitir um avanço radical em muitas áreas de negócio, não podendo deixar de referir o comércio online (ou eCommerce). Porém, não se manteve tudo positivo e, atualmente, os ataques cibernéticos são uma preocupação de todos os que navegam a internet.

O que é phishing?

O conceito de phishing teve origem na palavra inglesa “fishing”, que significa “pescar”, ou seja, o hacker lança um “isco” de modo a “pescar” informação sobre os que “morderem o anzol”.

Consiste na prática de levar users a revelar dados pessoais e confidenciais através do uso de métodos tecnológicos, na grande maioria das vezes, através do envio de emails. Nesses e-mails, o hacker faz-se passar por uma empresa ou organização fidedigna, obtendo assim a confiança do recetor e tentando obter alguns dados. Muitas das vezes podem imitar um website, por exemplo, de um banco e forçar o login com o username e password dos clientes. Se o indivíduo realizar esta ação irá fornecer esta informação ao hacker.

Neste tipo de situações, os dados mais comuns que tentam ser roubados são informações pessoais como palavras-passe, número do cartão de crédito e informações sobre a conta bancária. Esta é a forma mais simples de um ciberataque, mas pode também ser a mais perigosa.

Emails de Phishing

Emails enviados onde os invasores apresentam-se como colegas confiáveis ou outros contactos para enganar os desinformados e levá-los a entregar passwords ou outras informações. São fáceis de enviar e difíceis de combater.

Muitas das maiores violações de dados nos últimos anos – desde o ataque à Sony Pictures até a invasão do Comité Nacional Democrata Brasileiro a vários ataques a bancos, começaram com e-mails de phishing.

Tipos de ataque de phishing

O site MalwareBytes identificou alguns dos tipos de phishing mais comuns, estes são:

1. Spear phishing

Este tipo de ataque pressupõe um conhecimento prévio sobre a entidade que pretendem imitar, de modo a criarem uma personalidade e email fidedigno e aproveitarem a situação em que o indivíduo se encontra. Contrariamente à grande maioria dos ataques informáticos, pretende atacar um alvo específico e não massificado. Este é a preocupação principal das empresas e governos.

2. Clone phishing

Pressupõe a cópia ou clonagem de emails previamente enviados para aquele user, porém os hiperlinks e ficheiros anexados são trocados.

3. Phone Phishing

Este ataque toma a forma de uma mensagem ou, na grande maioria das vezes, uma chamada. Nesta o atacante faz-se passar por um banco ou empresa de serviços, apresentam um problema e solicitam os seus serviços como solução, pressupondo sempre, um pagamento ou transferência de dinheiro.

4. Esquemas nigerianos (419)

Nesta situação, os hackers fazem-se passar por elementos de uma família real ou do governo que pretende fazer uma transferência de dinheiro muito elevada. A urgência da situação é rapidamente referenciada levando o recetor a divulgar os seus dados. É associado ao número 419 por ser o número relativo a fraudes e crimes no Código Penal Nigeriano.

Como prevenir?

A primeira forma de prevenção de um ataque é sem dúvida instalar algumas proteções, como por exemplo, um software antivírus mais completo que previna phishing. Porém, e apesar de ser um método fiável, não é totalmente eficaz, como tal existem diversas boas práticas que deve ter em conta.

• Se reconhecer o nome do remetente, mas for alguém com que não comunica via correio eletrónico, tente comunicar com a pessoa em questão previamente a abrir o email.
• O conteúdo da mensagem tem links um pouco estranhos, ou até mesmo ficheiros anexados, não clique e não abra, passe o cursor por cima do link para verificar a sua URL e ver se é segura. Para além deste fator, tenha em atenção o conteúdo em si, pois se for algo de alarmante e marcado como urgente (ou até mesmo vir mencionado no assunto), desconfie e tente perceber de onde vem o email.
• Analise também o contexto, pois nenhum banco ou até serviços de finanças lhe irá facultar a revisão dos seus dados informativos e pessoais por email.
• Use o truque antigo de colocar a “senha errada” – quando um site lhe pedir a senha pela primeira vez, coloque uma senha propositadamente errada, valide o comportamento.
• Valide os endereços que surgem na barra do seu navegador, confirme que são os reais, se tiverem nomes duvidosos não faça nada, apenas feche.
• Procure pela entidade no Google, valide se o site é o mesmo.
• Em casos de dúvida, ligue para a entidade real, valide junto do seu banco, cliente, ou qualquer que seja a entidade original. Valide se é real o email, caso não seja reporte, pois eles saberão como proceder.
• Adote uma palavra-passe mais complexa e segura.
• Configure as suas definições de segurança/privacidade no Facebook ou outros, use sistemas de dupla autenticação, pois caso não receba um código de confirmação no seu telefone após um “login fantasma”, irá perceber que foi falha, e poderá mudar a sua senha sem medo de que possa ter sido comprometido o acesso à sua conta.
• Em caso de dúvida, não reenvie emails a não ser que seja expressamente pedido pela pessoa, pois se tem duvidas e for uma ameaça real, pode estar a propagar a ameaça, ligue para a entidade a validar a autenticidade do email.

Os custos

Nos casos em que uma violação resultou em perda de dados ou ativos, o custo médio de um ataque cibernético a uma empresa aumentou em 2018 para 4.845 €, segundo o relatório.

Por onde começar?

A proteção contra estas violações, ou ataques, requer tanto controlos técnicos, quanto uma boa consciencialização da equipa. Isto inclui os colaboradores não especializados, que são tipicamente aqueles a quem se dirigem os ataques de phishing.

O papel dos colaboradores

O relatório Cyber Security Breaches de 2019, da Universidade de Portsmouth, também conclui que – como nos anos anteriores – a violação ou ataque mais perturbador era mais provável de ser detetada pelos trabalhadores da empresa.

Considerações finais

Algumas PME sentem que podem fazer mais, mas não têm a certeza de que medidas seguir e querem orientação sobre outras melhorias que podem fazer.

Outros acham que já tinham adotado uma abordagem razoável com os recursos fixos e o orçamento que têm. As instituições de solidariedade social com baixos a médios rendimentos, em particular, veem o custo como um obstáculo.

Algumas organizações também mencionam a necessidade de equilibrar os controlos dos utilizadores, com a flexibilidade de permitir que os funcionários realizem as suas tarefas quotidianas, de modo a que não sintam uma maior necessidade de controlo.

Garanta a segurança da sua empresa

A Openlimits garante, a qualquer dos seus clientes, uma forte componente de segurança no meio digital. Através de equipamentos UTM (para monitorização e filtragem da rede), sistemas de cópias de segurança híbridas(locais e na nuvem), serviço de email profissional com filtragem de conteúdos e criação de regras de bloqueio.

Ajudamos os nossos clientes a proteger, a detetar e a reagir a ameaças ao realizar operações de segurança sistemáticas, minimizando o impacto que a sua empresa sofra no caso de alguma tentativa de ataque do género de phishing, ransomware e não só.

A sua segurança é o mais importante para nós. Conheça a nossa oferta.