A revolução do digital introduziu uma nova realidade para todos os seus utilizadores, nomeadamente empresas e consumidores. A internet veio permitir um avanço radical em muitas áreas de negócio, não podendo deixar de referir o comércio online (ou eCommerce). Porém, não se manteve tudo positivo e, atualmente, os ataques cibernéticos são uma preocupação de todos os que navegam a internet.
O que é phishing?
O conceito de phishing teve origem na palavra inglesa “fishing”, que significa “pescar”, ou seja, o hacker lança um “isco” de modo a “pescar” informação sobre os que “morderem o anzol”.
Consiste na prática de levar users a revelar dados pessoais e confidenciais através do uso de métodos tecnológicos, na grande maioria das vezes, através do envio de emails. Nesses e-mails, o hacker faz-se passar por uma empresa ou organização fidedigna, obtendo assim a confiança do recetor e tentando obter alguns dados. Muitas das vezes podem imitar um website, por exemplo, de um banco e forçar o login com o username e password dos clientes. Se o indivíduo realizar esta ação irá fornecer esta informação ao hacker.
Neste tipo de situações, os dados mais comuns que tentam ser roubados são informações pessoais como palavras-passe, número do cartão de crédito e informações sobre a conta bancária. Esta é a forma mais simples de um ciberataque, mas pode também ser a mais perigosa.
Emails de Phishing
Emails enviados onde os invasores apresentam-se como colegas confiáveis ou outros contactos para enganar os desinformados e levá-los a entregar passwords ou outras informações. São fáceis de enviar e difíceis de combater.
Muitas das maiores violações de dados nos últimos anos – desde o ataque à Sony Pictures até a invasão do Comité Nacional Democrata Brasileiro a vários ataques a bancos, começaram com e-mails de phishing.
Tipos de ataque de phishing
O site MalwareBytes identificou alguns dos tipos de phishing mais comuns, estes são:
1. Spear phishing
Este tipo de ataque pressupõe um conhecimento prévio sobre a entidade que pretendem imitar, de modo a criarem uma personalidade e email fidedigno e aproveitarem a situação em que o indivíduo se encontra. Contrariamente à grande maioria dos ataques informáticos, pretende atacar um alvo específico e não massificado. Este é a preocupação principal das empresas e governos.
2. Clone phishing
Pressupõe a cópia ou clonagem de emails previamente enviados para aquele user, porém os hiperlinks e ficheiros anexados são trocados.
3. Phone Phishing
Este ataque toma a forma de uma mensagem ou, na grande maioria das vezes, uma chamada. Nesta o atacante faz-se passar por um banco ou empresa de serviços, apresentam um problema e solicitam os seus serviços como solução, pressupondo sempre, um pagamento ou transferência de dinheiro.
4. Esquemas nigerianos (419)
Nesta situação, os hackers fazem-se passar por elementos de uma família real ou do governo que pretende fazer uma transferência de dinheiro muito elevada. A urgência da situação é rapidamente referenciada levando o recetor a divulgar os seus dados. É associado ao número 419 por ser o número relativo a fraudes e crimes no Código Penal Nigeriano.
Como prevenir?
A primeira forma de prevenção de um ataque é sem dúvida instalar algumas proteções, como por exemplo, um software antivírus mais completo que previna phishing. Porém, e apesar de ser um método fiável, não é totalmente eficaz, como tal existem diversas boas práticas que deve ter em conta.
- Se reconhecer o nome do remetente, mas for alguém com que não comunica via correio eletrónico, tente comunicar com a pessoa em questão previamente a abrir o email.
- O conteúdo da mensagem tem links um pouco estranhos, ou até mesmo ficheiros anexados, não clique e não abra, passe o cursor por cima do link para verificar a sua URL e ver se é segura. Para além deste fator, tenha em atenção o conteúdo em si, pois se for algo de alarmante e marcado como urgente (ou até mesmo vir mencionado no assunto), desconfie e tente perceber de onde vem o email.
- Analise também o contexto, pois nenhum banco ou até serviços de finanças lhe irá facultar a revisão dos seus dados informativos e pessoais por email.
- Use o truque antigo de colocar a “senha errada” – quando um site lhe pedir a senha pela primeira vez, coloque uma senha propositadamente errada, valide o comportamento.
- Valide os endereços que surgem na barra do seu navegador, confirme que são os reais, se tiverem nomes duvidosos não faça nada, apenas feche.
- Procure pela entidade no Google, valide se o site é o mesmo.
- Em casos de dúvida, ligue para a entidade real, valide junto do seu banco, cliente, ou qualquer que seja a entidade original. Valide se é real o email, caso não seja reporte, pois eles saberão como proceder.
- Adote uma palavra-passe mais complexa e segura.
- Configure as suas definições de segurança/privacidade no Facebook ou outros, use sistemas de dupla autenticação, pois caso não receba um código de confirmação no seu telefone após um “login fantasma”, irá perceber que foi falha, e poderá mudar a sua senha sem medo de que possa ter sido comprometido o acesso à sua conta.
- Em caso de dúvida, não reenvie emails a não ser que seja expressamente pedido pela pessoa, pois se tem duvidas e for uma ameaça real, pode estar a propagar a ameaça, ligue para a entidade a validar a autenticidade do email.
Os custos
Nos casos em que uma violação resultou em perda de dados ou ativos, o custo médio de um ataque cibernético a uma empresa aumentou em 2018 para 4.845 €, segundo o relatório.
Por onde começar?
A proteção contra estas violações, ou ataques, requer tanto controlos técnicos, quanto uma boa consciencialização da equipa. Isto inclui os colaboradores não especializados, que são tipicamente aqueles a quem se dirigem os ataques de phishing.
O papel dos colaboradores
O relatório Cyber Security Breaches de 2019, da Universidade de Portsmouth, também conclui que – como nos anos anteriores – a violação ou ataque mais perturbador era mais provável de ser detetada pelos trabalhadores da empresa.
Considerações finais
Algumas PME sentem que podem fazer mais, mas não têm a certeza de que medidas seguir e querem orientação sobre outras melhorias que podem fazer.
Outros acham que já tinham adotado uma abordagem razoável com os recursos fixos e o orçamento que têm. As instituições de solidariedade social com baixos a médios rendimentos, em particular, veem o custo como um obstáculo.
Algumas organizações também mencionam a necessidade de equilibrar os controlos dos utilizadores, com a flexibilidade de permitir que os funcionários realizem as suas tarefas quotidianas, de modo a que não sintam uma maior necessidade de controlo.
Garanta a segurança da sua empresa
A Openlimits garante, a qualquer dos seus clientes, uma forte componente de segurança no meio digital. Através de equipamentos UTM (para monitorização e filtragem da rede), sistemas de cópias de segurança híbridas(locais e na nuvem), serviço de email profissional com filtragem de conteúdos e criação de regras de bloqueio.
Ajudamos os nossos clientes a proteger, a detetar e a reagir a ameaças ao realizar operações de segurança sistemáticas, minimizando o impacto que a sua empresa sofra no caso de alguma tentativa de ataque do género de phishing, ransomware e não só.
A sua segurança é o mais importante para nós. Conheça a nossa oferta.