Phishing - Você sabe o que é e como se proteger ?

Phishing – Você sabe o que é e como se proteger ? Outubro é o Mês Nacional de Conscientização sobre Segurança Cibernética (NCSAM – National Cyber Security Awareness Month), tanto nos Estados Unidos quanto na Europa. O NCSAM é uma campanha de conscientização pública que inspira empresas e indivíduos a tomar medidas proativas para se proteger de ameaças cibernéticas.

Em comemoração do mês, diversas empresas estão fazendo campanhas e publicando orientações sobre vírus, phishing e outras ameaças. A Check Point foi uma das que divulgou alguns esclarecimentos, dicas e informações úteis para ajudar a manter sua organização protegida contra as ameaças virtuais de hoje.

Brian Kernighan, cientista de computação canadense que trabalhou na Bell Labs e contribuiu para o desenvolvimento do Unix, disse uma vez: “Se você não entende vírus, phishing e ameaças cibernéticas semelhantes, fica mais suscetível a eles“. Com os cyber scams aumentando constantemente em sofisticação, essa afirmação é especialmente verdadeira hoje em dia.

Seus usuários são o elo mais fraco na defesa contra o cibercrime, como o phishing. Eles precisam se manter informados sobre as mais recentes ameaças de phishing e como evitar se tornar uma vítima para manter a segurança de si e de sua organização.

+100Bi de Spam enviados todos os dias
85% das organizações tem sido alvo

fonte Phishig.org

Então, o que exatamente é phishing?

Uma das táticas que mais usadas por hackers é chamada de “phishing“, um problema antigo e online que ainda é um grande problema, embora as pessoas achem que são inteligentes o suficiente para não se apaixonarem por uma fraude.

Em vez de usar uma vara e um carretel com uma sardinha em um gancho para prender uma presa, os trapaceiros usam e-mails enganosos para atrair sua atenção e atraí-lo para o esquema deles. Se você morder a isca, o resultado pode lhe custar milhares de dólares e uma vida inteira de arrependimento e constrangimento.

Um dos aspectos que a maioria de nós gosta sobre a Internet – o anonimato – é algo que um artista de fraudes online usará a seu favor. Um vigarista pode fingir ser qualquer um que queira ser. Eles não precisam de disfarces elaborados como os personagens do Missão Impossível ou crachás falsos e credenciais como os do 11 do Ocean.

Quando se trata de phishing, tudo o que eles precisam é de um “tema do momento” e de um monte de endereços de e-mail. Um phisher geralmente não têm muito conhecimento técnico como um hacker … eles só precisam de um baixo nível de habilidades de escrita e design de computador para criar e-mails e sites falsos que pareçam legítimos o suficiente para enganá-lo.

Em um ataque de phishing, um hacker cria um email que parece ser legítimo e o envia para um ou mais indivíduos ou funcionários. Seu objetivo – enganar os usuários para que cliquem em um link ou anexo mal-intencionado ou divulguem credenciais de login por meio de sites enganosos, permitindo que o ladrão contorne facilmente as defesas e lhes permita acessar a rede ou ativos comerciais e financeiros importantes.

Infelizmente, os hackers estão ficando melhores em enganar os usuários. De acordo com o Relatório de investigações de violações de dados da Verizon de 2016, 30% dos e-mails de phishing foram abertos e, desses, 12% clicaram no anexo ou link malicioso, permitindo que o ataque fosse bem-sucedido. Traduzindo: “ainda estamos sendo enganados”. Para piorar as coisas, à medida que os invasores se tornam mais hábeis em enganar os usuários, a separação do conteúdo legítimo dos golpes está ficando mais difícil.

Ainda não está convencido que o phishing é uma ameaça real ainda? De acordo com a pesquisa SANS 2016 Threat Landscape, 68% das organizações tiveram um aumento nos ataques de phishing nos últimos 12 meses.

Como se proteger?

Fornecedores de soluções de segurança e departamentos de TI estão trabalhando duro para impedir que esses tipos de ataques atinjam os usuários, mas alguns inevitavelmente passarão. Para melhor proteger você e sua organização, você deve aprender a reconhecer os sinais de phishing.

A melhor estratégia para sobreviver a uma tentativa de phishing é ficar longe da isca e do anzol! Mas como podemos fazer isso? Vamos ver algumas 10 recomendações da Phishing.org

1) Mantenha-se informado sobre as técnicas de phishing

Novas tentativas de phishing estão sendo desenvolvidas o tempo todo. Sem ficar por dentro dessas novas técnicas de phishing, você poderia inadvertidamente ser vítima de uma.
Fique atento às notícias sobre novos golpes de phishing. Ao descobri-los o mais cedo possível, você terá um risco muito menor de ser capturado por um.
Para os administradores de TI, o treinamento contínuo de reconhecimento de segurança e phishing simulado para todos os usuários é altamente recomendado para manter a segurança em destaque em toda a organização.

2) Pense antes de clicar!

Não há problema em clicar em links quando você estiver em sites confiáveis. Clicar em links que aparecem em e-mails aleatórios e mensagens instantâneas, no entanto, não é uma jogada inteligente.
Passe o mouse sobre os links que você não tem certeza antes de clicar neles. Eles apontam para onde deveriam apontar? Um e-mail de phishing pode reivindicar ser de uma empresa legítima e, quando você clica no link para o site, pode ser exatamente igual ao site real, mas não !
O e-mail pode solicitar que você preencha as informações, mas o e-mail pode não conter seu nome. A maioria dos e-mails de phishing começa com “Caro cliente”, por isso você deve estar alerta quando encontrar esses e-mails.
Em caso de dúvida, vá diretamente para a fonte em vez de clicar em um link potencialmente perigoso.

3) Instale uma barra de ferramentas anti-phishing

Os navegadores de Internet mais populares podem ser personalizados com barras de ferramentas anti-phishing. Essas barras de ferramentas executam verificações rápidas nos sites que você está visitando e as compara a listas de sites de phishing conhecidos.
Se você se deparar com um site malicioso, a barra de ferramentas irá alertá-lo sobre isso. Esta é apenas mais uma camada de proteção contra golpes de phishing, e é totalmente gratuita.

4) Verificar a segurança de um site

É natural ser um pouco cauteloso ao fornecer informações financeiras confidenciais on-line. Contanto que você esteja em um site seguro, no entanto, você não deve se deparar com nenhum problema. Por isto, antes de enviar qualquer informação, verifique se o URL do site começa com “https” e se deve haver um ícone de cadeado fechado perto da barra de endereço.
Verifique também o certificado de segurança do site.
Se você receber uma mensagem informando que determinado site pode conter arquivos maliciosos, não abra o site.
Nunca baixe arquivos de e-mails ou sites suspeitos.
Mesmo os mecanismos de pesquisa podem exibir determinados links que podem levar os usuários a uma página da Web de phishing que oferece produtos de baixo custo. Se o usuário fizer compras em um site desse tipo, os detalhes do cartão de crédito serão acessados por criminosos cibernéticos.

5) Verifique suas contas on-line regularmente

Se você não visitar uma conta online por um tempo, alguém pode estar usando sem que você perceba. Mesmo que você não precise, faça o check-in com cada uma das suas contas online regularmente.
Adquira o hábito de alterar suas senhas regularmente também.
Para evitar fraudes bancárias e golpes de phishing de cartão de crédito, você deve verificar suas declarações regularmente. Obter extratos mensais para suas contas financeiras e verificar cada entrada cuidadosamente para garantir que nenhuma transação fraudulenta tenha sido feita sem o seu conhecimento.

6) Mantenha seu navegador atualizado

Os patches de segurança são liberados para navegadores populares o tempo todo. Eles são lançados em resposta às brechas de segurança que os phishers e outros hackers inevitavelmente descobrem e exploram. Se você normalmente ignorar mensagens sobre a atualização de seus navegadores, pare. No minuto em que uma atualização estiver disponível, faça o download e instale-a.

7) Use Firewalls

Firewalls de alta qualidade atuam como buffers entre você, seu computador e intrusos externos.
Você pode usar dois tipos diferentes: um firewall de desktop e um firewall de rede. A primeira opção é um tipo de software e a segunda opção é um tipo de hardware. Quando usados em conjunto, reduzem drasticamente as chances de hackers e phishers se infiltrarem no seu computador ou na sua rede.

8) Desconfie de Pop-ups

Janelas pop-up geralmente se disfarçam como componentes legítimos de um site. Com muita frequência, porém, são tentativas de phishing.
Muitos navegadores populares permitem que você bloqueie pop-ups; você pode permiti-los caso a caso.
Se algum conseguir escapar, não clique no botão “cancelar”; esses botões geralmente levam a sites de phishing. Em vez disso, clique no pequeno “x” no canto superior da janela.

9) Nunca forneça informações pessoais

Como regra geral, você nunca deve compartilhar informações pessoais ou financeiras pela Internet. Essa regra se estende desde os dias da America Online, quando os usuários precisavam ser avisados constantemente devido ao sucesso dos primeiros golpes de phishing.
Em caso de dúvida, visite o site principal da empresa em questão, obtenha seu número e ligue para ele.
A maioria dos e-mails de phishing direcionam você para páginas em que são necessárias entradas para informações financeiras ou pessoais.
Um usuário da Internet nunca deve fazer entradas confidenciais através dos links fornecidos nos emails.
Nunca envie um email com informações confidenciais para ninguém.
Crie o hábito de verificar o endereço do site. Um site seguro sempre começa com “https” (embora exista ainda a possibilidade de uso de certificado falso, mas é um bom começo…)

10) Use um bom software antivírus

Existem vários motivos para usar o software antivírus. As assinaturas especiais incluídas no software antivírus protegem contra soluções alternativas e brechas de tecnologia conhecidas.
Certifique-se de manter seu software atualizado. Novas definições são adicionadas o tempo todo porque novos golpes também estão sendo criados o tempo todo.
As configurações de anti-spyware e firewall devem ser usadas para impedir ataques de phishing e os usuários devem atualizar os programas regularmente.
A proteção por firewall impede o acesso a arquivos maliciosos, bloqueando os ataques. O software antivírus verifica todos os arquivos que chegam pela Internet ao seu computador. Isso ajuda a evitar danos ao seu sistema.

Você não precisa viver com medo de golpes de phishing. Lembre-se que não há uma única maneira à prova de erros para evitar ataques de phishing, portanto estar atualizado e saber as principais técnicas utilizadas e como se proteger delas é um bom começo.

Fonte: Check Point & Phishing.org

Veja também: