Phishing – Você sabe o que é e como se proteger ?

100Bi de Spam enviados todos os dias

Phishing – Você sabe o que é e como se proteger ? Outubro é o Mês Nacional de Conscientização sobre Segurança Cibernética (NCSAM – National Cyber Security Awareness Month), tanto nos Estados Unidos quanto na Europa. O NCSAM é uma campanha de conscientização pública que inspira empresas e indivíduos a tomar medidas proativas para se proteger de ameaças cibernéticas.

Em comemoração do mês, diversas empresas estão fazendo campanhas e publicando orientações sobre vírus, phishing e outras ameaças. A Check Point foi uma das que divulgou alguns esclarecimentos, dicas e informações úteis para ajudar a manter sua organização protegida contra as ameaças virtuais de hoje.

Brian Kernighan, cientista de computação canadense que trabalhou na Bell Labs e contribuiu para o desenvolvimento do Unix, disse uma vez: “Se você não entende vírus, phishing e ameaças cibernéticas semelhantes, fica mais suscetível a eles“. Com os cyber scams aumentando constantemente em sofisticação, essa afirmação é especialmente verdadeira hoje em dia.

Seus usuários são o elo mais fraco na defesa contra o cibercrime, como o phishing.  Eles precisam se manter informados sobre as mais recentes ameaças de phishing e como evitar se tornar uma vítima para manter a segurança de si e de sua organização.

+100Bi de Spam enviados todos os dias

85% das organizações tem sido alvo

fonte Phishig.org

 

Então, o que exatamente é phishing?

Uma das táticas que mais usadas por hackers é chamada de “phishing“, um problema antigo e online que ainda é um grande problema, embora as pessoas achem que são inteligentes o suficiente para não se apaixonarem por uma fraude.

Em vez de usar uma vara e um carretel com uma sardinha em um gancho para prender uma presa, os trapaceiros usam e-mails enganosos para atrair sua atenção e atraí-lo para o esquema deles. Se você morder a isca, o resultado pode lhe custar milhares de dólares e uma vida inteira de arrependimento e constrangimento.

Um dos aspectos que a maioria de nós gosta sobre a Internet – o anonimato – é algo que um artista de fraudes online usará a seu favor. Um vigarista pode fingir ser qualquer um que queira ser. Eles não precisam de disfarces elaborados como os personagens do Missão Impossível ou crachás falsos e credenciais como os do 11 do Ocean.

Quando se trata de phishing, tudo o que eles precisam é de um “tema do momento” e de um monte de endereços de e-mail. Um phisher geralmente não têm muito conhecimento técnico como um hacker … eles só precisam de um baixo nível de habilidades de escrita e design de computador para criar e-mails e sites falsos que pareçam legítimos o suficiente para enganá-lo.

Em um ataque de phishing, um hacker cria um email que parece ser legítimo e o envia para um ou mais indivíduos ou funcionários. Seu objetivo – enganar os usuários para que cliquem em um link ou anexo mal-intencionado ou divulguem credenciais de login por meio de sites enganosos, permitindo que o ladrão contorne facilmente as defesas e lhes permita acessar a rede ou ativos comerciais e financeiros importantes.

Infelizmente, os hackers estão ficando melhores em enganar os usuários. De acordo com o Relatório de investigações de violações de dados da Verizon de 2016, 30% dos e-mails de phishing foram abertos e, desses, 12% clicaram no anexo ou link malicioso, permitindo que o ataque fosse bem-sucedido. Traduzindo: “ainda estamos sendo enganados”. Para piorar as coisas, à medida que os invasores se tornam mais hábeis em enganar os usuários, a separação do conteúdo legítimo dos golpes está ficando mais difícil.

Ainda não está convencido que o phishing é uma ameaça real ainda? De acordo com a pesquisa SANS 2016 Threat Landscape, 68% das organizações tiveram um aumento nos ataques de phishing nos últimos 12 meses.

 

Como se proteger?

Fornecedores de soluções de segurança e departamentos de TI estão trabalhando duro para impedir que esses tipos de ataques atinjam os usuários, mas alguns inevitavelmente passarão. Para melhor proteger você e sua organização, você deve aprender a reconhecer os sinais de phishing.

A melhor estratégia para sobreviver a uma tentativa de phishing é ficar longe da isca e do anzol! Mas como podemos fazer isso? Vamos ver algumas 10 recomendações da Phishing.org

1) Mantenha-se informado sobre as técnicas de phishing 

  • Novas tentativas de phishing estão sendo desenvolvidas o tempo todo. Sem ficar por dentro dessas novas técnicas de phishing, você poderia inadvertidamente ser vítima de uma.
  • Fique atento às notícias sobre novos golpes de phishing. Ao descobri-los o mais cedo possível, você terá um risco muito menor de ser capturado por um.
  • Para os administradores de TI, o treinamento contínuo de reconhecimento de segurança e phishing simulado para todos os usuários é altamente recomendado para manter a segurança em destaque em toda a organização.

2) Pense antes de clicar!

  • Não há problema em clicar em links quando você estiver em sites confiáveis. Clicar em links que aparecem em e-mails aleatórios e mensagens instantâneas, no entanto, não é uma jogada inteligente.
  • Passe o mouse sobre os links que você não tem certeza antes de clicar neles. Eles apontam para onde deveriam apontar? Um e-mail de phishing pode reivindicar ser de uma empresa legítima e, quando você clica no link para o site, pode ser exatamente igual ao site real, mas não !
  • O e-mail pode solicitar que você preencha as informações, mas o e-mail pode não conter seu nome. A maioria dos e-mails de phishing começa com “Caro cliente”, por isso você deve estar alerta quando encontrar esses e-mails.
  • Em caso de dúvida, vá diretamente para a fonte em vez de clicar em um link potencialmente perigoso.

3) Instale uma barra de ferramentas anti-phishing

  • Os navegadores de Internet mais populares podem ser personalizados com barras de ferramentas anti-phishing. Essas barras de ferramentas executam verificações rápidas nos sites que você está visitando e as compara a listas de sites de phishing conhecidos.
  • Se você se deparar com um site malicioso, a barra de ferramentas irá alertá-lo sobre isso. Esta é apenas mais uma camada de proteção contra golpes de phishing, e é totalmente gratuita.

4) Verificar a segurança de um site

  • É natural ser um pouco cauteloso ao fornecer informações financeiras confidenciais on-line. Contanto que você esteja em um site seguro, no entanto, você não deve se deparar com nenhum problema. Por isto, antes de enviar qualquer informação, verifique se o URL do site começa com “https” e se deve haver um ícone de cadeado fechado perto da barra de endereço.
  • Verifique também o certificado de segurança do site.
  • Se você receber uma mensagem informando que determinado site pode conter arquivos maliciosos, não abra o site.
  • Nunca baixe arquivos de e-mails ou sites suspeitos.
  • Mesmo os mecanismos de pesquisa podem exibir determinados links que podem levar os usuários a uma página da Web de phishing que oferece produtos de baixo custo. Se o usuário fizer compras em um site desse tipo, os detalhes do cartão de crédito serão acessados ​​por criminosos cibernéticos.

5) Verifique suas contas on-line regularmente 

  • Se você não visitar uma conta online por um tempo, alguém pode estar usando sem que você perceba. Mesmo que você não precise, faça o check-in com cada uma das suas contas online regularmente.
  • Adquira o hábito de alterar suas senhas regularmente também.
  • Para evitar fraudes bancárias e golpes de phishing de cartão de crédito, você deve verificar suas declarações regularmente. Obter extratos mensais para suas contas financeiras e verificar cada entrada cuidadosamente para garantir que nenhuma transação fraudulenta tenha sido feita sem o seu conhecimento.

6) Mantenha seu navegador atualizado

  • Os patches de segurança são liberados para navegadores populares o tempo todo. Eles são lançados em resposta às brechas de segurança que os phishers e outros hackers inevitavelmente descobrem e exploram. Se você normalmente ignorar mensagens sobre a atualização de seus navegadores, pare. No minuto em que uma atualização estiver disponível, faça o download e instale-a.

7) Use Firewalls

  • Firewalls de alta qualidade atuam como buffers entre você, seu computador e intrusos externos.
  • Você pode usar dois tipos diferentes: um firewall de desktop e um firewall de rede. A primeira opção é um tipo de software e a segunda opção é um tipo de hardware. Quando usados ​​em conjunto, reduzem drasticamente as chances de hackers e phishers se infiltrarem no seu computador ou na sua rede.

8) Desconfie de Pop-ups

  • Janelas pop-up geralmente se disfarçam como componentes legítimos de um site. Com muita frequência, porém, são tentativas de phishing.
  • Muitos navegadores populares permitem que você bloqueie pop-ups; você pode permiti-los caso a caso.
  • Se algum conseguir escapar, não clique no botão “cancelar”; esses botões geralmente levam a sites de phishing. Em vez disso, clique no pequeno “x” no canto superior da janela.

9) Nunca forneça informações pessoais

  • Como regra geral, você nunca deve compartilhar informações pessoais ou financeiras pela Internet. Essa regra se estende desde os dias da America Online, quando os usuários precisavam ser avisados ​​constantemente devido ao sucesso dos primeiros golpes de phishing.
  • Em caso de dúvida, visite o site principal da empresa em questão, obtenha seu número e ligue para ele.
  • A maioria dos e-mails de phishing direcionam você para páginas em que são necessárias entradas para informações financeiras ou pessoais.
  • Um usuário da Internet nunca deve fazer entradas confidenciais através dos links fornecidos nos emails.
  • Nunca envie um email com informações confidenciais para ninguém.
  • Crie o hábito de verificar o endereço do site. Um site seguro sempre começa com “https” (embora exista ainda a possibilidade de uso de certificado falso, mas é um bom começo…)

10) Use um bom software antivírus

  • Existem vários motivos para usar o software antivírus. As assinaturas especiais incluídas no software antivírus protegem contra soluções alternativas e brechas de tecnologia conhecidas.
  • Certifique-se de manter seu software atualizado. Novas definições são adicionadas o tempo todo porque novos golpes também estão sendo criados o tempo todo.
  • As configurações de anti-spyware e firewall devem ser usadas para impedir ataques de phishing e os usuários devem atualizar os programas regularmente.
  • A proteção por firewall impede o acesso a arquivos maliciosos, bloqueando os ataques. O software antivírus verifica todos os arquivos que chegam pela Internet ao seu computador. Isso ajuda a evitar danos ao seu sistema.

Você não precisa viver com medo de golpes de phishing. Lembre-se que não há uma única maneira à prova de erros para evitar ataques de phishing, portanto estar atualizado e saber as principais técnicas utilizadas e como se proteger delas  é um bom começo.

 

Fonte: Check Point & Phishing.org

Veja também:

Sobre mindsecblog 1783 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Comentário

  1. Olá Kleber. Excelente ocasião para voltarmos a falar sobre o whitepaper que enviei e que poderá ter uma solução viável para este problema referido no artigo.
    Aguardo a sua resposta. Obrigado.

Deixe sua opinião!