Por Guilherme Scombatti

/ Em Segurança da Informação /

Postado em

jul 19, 2017

Golpes de Phishing, cada vez mais sofisticados

Sabe aqueles e-mails maliciosos que estamos cansados de receber? Até pouco tempo, eles pareciam mais óbvios. Falavam de fotos de festa, arquivos anexos, aparentemente mais pessoais e, digamos, inocentes. Tanto a ponto de notarmos que algo estava errado e que não eram legítimos.

Mas se o Phishing, nome a esse tipo de ataque malicioso feito por hackers, surgiu na década de 90, de lá para cá ele também teve bastante tempo de evoluir. E nós precisamos evoluir nossa prevenção junto com ele, seja ao abrir nossos arquivos pessoais ou empresariais.

Há pessoas que se passam por bancos e acessam suas informações pessoais. Em outros casos, utilizam nomes de empresas ou órgãos conhecidos, como da Receita Federal, com mensagens chamativas. Além disso, eles criam “campanhas” sazonais, como por exemplo, nos últimos meses com o FGTS com e-mails que diziam “Informe seus dados pessoais para ter um saque mais rápido”, ou algo do tipo.

Inclusive recentemente houve um golpe usando o nome de um aplicativo de transporte. Diziam que o usuário teria 100 reais de crédito para consumir. A pessoa clicava no link, era redirecionada, postava seus dados pessoais e, inclusive, cartão de crédito e senha. Pronto! Mais de 40 mil pessoas foram pegas com esse golpe. 40 mil!

E como se prevenir? Aqui vão algumas dicas:

  • Entenda o que é

Phishing é uma estratégia desonesta que hackers e outros cibercriminosos usam para roubar dados de outras pessoas, acessar informações pessoais ou expô-las na internet, como senhas, número do cartão de crédito, CPF e de contas bancárias, por exemplo. Eles fazem isso enviando e-mails falsos e direcionando você a websites falsos.

E por que ele não se limita a cartão de crédito? Pode ser o acesso a suas mídias sociais, como o Instagram, por exemplo. Sites e aplicativos que prometem funcionalidades como “saiba quem visualizou seu Instagram nos últimos dias” pode esconder más intenções por trás. Você baixa ou clica, coloca seu usuário e senha, e pronto! Roubam seus dados de cadastro e login.

  • Se desconfia do destinatário, nem abra o e-mail

Abrir o e-mail em si não é o problema. O problema é clicar no link e seguir os próximos passos, baixando algum arquivo ou acessando um site falso, que imita o verdadeiro. Mas na certeza de que é falso, ou se tiver alguma dúvida, nem abra o e-mail.

  • Se abrir, não responda o destinatário nem clique nos links

Não responda ou clique em links contidos em e-mails: ainda que o e-mail pareça ser de uma empresa ou destinatário que você confia. Isso inclusive pode acontecer dentro de sua empresa. Por isso, se achar a mensagem estranha, no caso de dúvida, entre em contato por um canal (seja interno ou externo) oficial e confirme se a mensagem é verdadeira.

  • Sempre desconfie de atualizações cadastrais por e-mail

Com toda a certeza, o seu banco não enviará um e-mail pedindo que você confirme ou atualize seus dados cadastrais. Muito menos irá te “punir” por isso com taxas ou bloqueio da conta corrente. Esses golpes sabem como assustar!

Se você se sentir preocupado com qualquer tipo de informação cadastral, faça algo simples: ligue diretamente para o seu gerente e pergunte, tanto do e-mail quanto se está tudo ok com a sua conta.

  • Checar nunca é demais

Quando falamos em segurança, checar nunca é demais. Da mesma maneira que você age checando se as janelas estão fechadas, se trancou bem a porta, se o sistema de vigilância e monitoramento está funcionando, se o alarme está ativado, o porteiro ou o vigilante da rua trabalhando etc., você deve agir no universo online. A tecnologia disponibiliza recursos que correspondem cada um desses itens de segurança que julgamos necessários em nosso dia a dia.

 

Mas fique tranquilo! Você não precisa ser nenhum expert. As dicas acima são mais básicas e podem te ajudar com um processo inicial e mais autônomo.

Para casos mais complexos, busque um profissional. Se acontecer dentro de sua empresa, busque o departamento de TI. Se você é gestor e precisa de um respaldo, busque uma empresa especializada em ataques como este, que irá entender exatamente as necessidades de segurança do seu negócio – desde um treinamento para a equipe para evitar caírem em Phishing, ao gerenciamento do ambiente de segurança da companhia.

Se precisar, conte comigo por aqui para tirar suas dúvidas sobre o tema.

0
Guilherme Scombatti

Autor: Guilherme Scombatti

Trabalha com segurança da informação há mais de 5 anos, possui diversas certificações na área e também tem experiência em análise de malware há mais de 2 anos. Guilherme Scombatti tem seu nome em alguns programas de "Bug Bounty" como Apple, Adobe, Foursquare entre outros. Tem atuado em projetos de penetration testing em grandes empresas do segmento bancário, órgãos públicos, mineradoras entre outros.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *