O que é Phishing? Revelando a ameaça existente

9 de agosto de 2023 By Jane Smith Sem comentários 9 minutos

Ao pensar sobre “o que é phishing”, pegamos uma carona de volta à pista onde Procurando Nemo encheu nossa infância com a emoção dela e permaneceu como nosso favorito de décadas. Infelizmente, o phishing difere bastante no domínio da segurança cibernética.

Estourando a bolha, os ataques de phishing são uma tentativa de chapéu preto para enganar e obter informações pessoais de um usuário, como detalhes bancários e informações de contas de mídia social – simplesmente tudo o que você nunca deseja que um estranho acesse. E 83% das empresas do Reino Unido relataram ter sido vítimas de ataques de phishing em 2022.

Mas não tema! Você pode manter suas informações pessoais seguras e protegidas com consciência de segurança cibernética e uma boa dose de ceticismo. Portanto, fique atento e pense duas vezes antes de compartilhar dados pessoais online.

Para falar sobre tudo isso, aperte o cinto enquanto abordamos tudo sobre o que é phishing, seus tipos e como mitigar um ataque de phishing. Preparar-se!

O que é phishing em palavras simples?

Um ataque de phishing é um crime cibernético em que as vítimas recebem um e-mail, uma mensagem de texto ou são contatadas por algum outro formulário. O objetivo é atrair o alvo para fornecer ao invasor informações pessoais – informações de cartão de crédito ou senhas de identificação. Posteriormente, as informações são usadas para acessar contas sem o conhecimento da vítima.

Vamos colocar desta forma, você tem um endereço de e-mail corporativo pessoal e recebe um e-mail da organização de um endereço de e-mail quase autêntico. Ele pede que você instale o novo software de mensagens e, devido à aparência legítima, você o instala. 

Ai está; você instalou ransomware na rede da empresa. A 2022 relatório afirma que 92% das organizações são vítimas de ataques de phishing.

De onde vêm os ataques de phishing?

Foi a American Online (AOL) que cunhou o termo phishing nos anos 90. A história rola como um grupo de chapéus pretos disfarçados de funcionários da AOL que pediram a todos os usuários da AOL login credenciais.

Rolando a bola, o phishing tornou-se uma atividade lucrativa de cibercrime e, hoje, o número aumentou para 3.4 bilhões e-mails de phishing enviados diariamente.

No entanto, há também um outro lado da história. Alguns especialistas dizem que o nome “phishing” vem da técnica de pesca, em que os hackers “pescam” as informações confidenciais de um alvo de um usuário do mar.

Ataque de phishing é crime? O que o phishing pode fazer no seu computador?

Isso varia de estado para estado. No geral, por sua natureza, não é legal; os usuários precisam estar atentos e manter suas informações privadas. Por outro lado, alguns estados têm leis e regulamentos para proteção do usuário contra esses ataques. No entanto, essas leis não mencionam claramente o phishing como uma prática ilegal; outras leis podem ser aplicadas para privacidade de informações. 

Terceiro trimestre de 3 da Confesse menciona phishing representando 93% dos crimes cibernéticos modernos. E, vendo a taxa crescente disso, diferentes leis federais podem resultar em uma implicação de sanções – colocando o ataque de phishing como um dos crimes de roubo de identidade. A intenção subjacente, juntamente com várias outras regras, é um fator significativo na categorização de um crime. 

Sites fraudulentos, plataformas ativamente controladas criadas especialmente para coleta ilegal de informações pessoais, estão sujeitos aos mesmos regulamentos de phishing que sites legítimos. Esses sites têm a intenção de enganar as vítimas confiáveis.

Fora isso, um ataque de phishing pode danificar seu computador; eles são projetados para isso. Depois de fornecer as informações de acesso à sua conta, um hacker pode infectar seu computador com malware.

Como funciona o phishing?

Vamos aprender como funciona o phishing com este exemplo, onde você é a vítima deste ataque. 

Suponha que você receba uma mensagem desconhecida que parece vir de uma fonte confiável ou de alguém que você conhece. 

Haverá um anexo ou um link solicitando uma ação urgente. E percebendo que, assim que interagir com um anexo de arquivo malicioso ou clicar em um hiperlink, você será redirecionado para um local malicioso na Internet e pronto, você se tornou vítima de um ataque de phishing. 

O objetivo é infectar seu dispositivo com malware ou redirecioná-lo para um site com conteúdo malicioso. Esses sites fraudulentos são projetados para induzi-lo a divulgar informações pessoais, como senhas, números de contas ou informações de cartão de crédito.

Os cibercriminosos coletam as informações pessoais e os antecedentes da pessoa-alvo nas redes sociais. Esses canais são usados ​​rotineiramente para encontrar informações sobre possíveis alvos. O infrator pode usar o conhecimento que adquiriu para criar um e-mail de phishing plausível com habilidade.

Quais são os 4 tipos de phishing?

Phishing é um termo genérico para atividades maliciosas que envolvem enganar os usuários para que revelem informações pessoais ou financeiras, como senhas, números de previdência social, OTP, etc. O alvo do phishing, em última análise, define seu tipo. 

Aqui estão os ataques de phishing comumente praticados:

1. Spear Phishing
2. Ataque Baleeiro
3. Ataque Smishing 
4. Phishing de pescador

1. Phishing lança

Spear Phishing visa um grupo específico em vez de um grande número de pessoas. É uma técnica de tamanho único que atinge centenas ou milhares de pessoas. É como jogar uma grande rede de pesca no mar e esperar algumas capturas.

Em contraste, o spear phishing envolve muita preparação e uma mensagem específica para aquele grupo ou pessoa. Ele geralmente terá como alvo funcionários de nível médio de uma organização, por exemplo. Spear Phishing requer conhecer o alvo para estabelecer familiaridade. 

Pode ser uma informação que você esperaria que algumas pessoas soubessem ou algo relacionado à sua organização. Os cibercriminosos podem se passar por um fornecedor e solicitar pagamento visando o departamento financeiro.

Depois que a confiança é estabelecida, os cibercriminosos podem até instalar malware em seu dispositivo, solicitando que você baixe um anexo. O malware geralmente é um spyware que registra informações do dispositivo e também pode ter a capacidade semelhante a um worm de se espalhar pela rede. 

Também pode ser um ransomware, que criptografa os dados do dispositivo, impossibilitando o acesso a arquivos importantes sem pagar o resgate.

2. Ataque Baleeiro

A Ataque Baleeiro concentra-se em um alvo de alto nível, como o CEO, CFO ou CTO de uma organização. O alvo é grande. Portanto, a preparação será dez vezes maior do que um ataque típico de phishing. Os cibercriminosos usarão as informações coletadas por meio de outras técnicas de engenharia social.

Infectar o dispositivo de um funcionário de alto nível significa acesso a informações confidenciais. Além disso, também pode fornecer informações suficientes aos cibercriminosos para fortalecer os ataques de phishing contra outros funcionários, como solicitar dinheiro urgente ao departamento financeiro usando o endereço de e-mail do CEO e incluir detalhes específicos que evitem a detecção.

Outra maneira de fazer com que você instale malware é fingindo ser o departamento de TI. Os cibercriminosos podem ter sucesso no ataque, fazendo com que pareça uma atualização urgente e importante.

3. Ataque Smishing

Os e-mails não são o único meio utilizado pelos cibercriminosos. Smishing refere-se a phishing através de SMS. Os cibercriminosos podem enviar mensagens de texto se passando por seu banco ou provedor de serviços, informando que uma determinada ação é necessária.

Pode conter um link ou pode ser solicitado que você responda na conversa com as informações.

4. Ataque do Pescador

In phishing de pescador, um hacker cria uma conta falsa - uma situação que você, como um millennial, provavelmente já experimentou - e oculta a identidade retratando a persona de um agente de suporte ao cliente amigável. Eles então pedem informações pessoais ou pedem que você clique em links maliciosos. 

Baixar esses links colocaria você em risco de ingressar em uma botnet. Se você fornecer informações pessoais, esteja ciente de possíveis violações de dados ou transações financeiras anônimas. Assim como as tentativas anteriores de phishing, o objetivo é induzir um usuário de rede social a divulgar informações pessoais para lucrar financeiramente ou obter acesso a informações.

O que é Vishing?

Vishing é outra forma de phishing que envolve chamadas. Você veria cibercriminosos se passando por bancos com mais frequência porque as informações financeiras são mais valiosas para qualquer criminoso. O visher pode solicitar que você verifique alguns dados bancários e repita um OTP (One-time Passcode) enviado por meio de sua conta.

Se o visher obtiver informações de autenticação de dois fatores como um OTP, ele poderá entrar em sua conta bancária. O OTP também pode verificar uma transação que o cibercriminoso está tentando fazer por meio de sua conta.

O que é um golpe de sextorção? Quando o phishing fica mais agressivo

Você pode nem sempre receber um e-mail aparentemente educado que solicita informações. Sextortion é um golpe crescente que joga com o medo do alvo. Derivado da palavra extorsão, os e-mails de sextortion normalmente informam ao usuário que o remetente tem fotos ou vídeos comprometedores de você e que você esteve ativo em sites de pornografia recentemente.

O e-mail dirá que a foto/vídeo foi obtido hackeando sua webcam ou a câmera do telefone por meio de um spyware instalado em seu dispositivo. O cibercriminoso exigirá pagamento, geralmente criptomoeda, se você não quiser que a foto/vídeo vaze.

Não se preocupe com isso. Essas são táticas de intimidação para fazer você pagar. Pode até incluir sua senha para que você leve a mensagem mais a sério. No entanto, é uma fraude que usa informações coletadas de técnicas de engenharia social ou senhas de uma violação de dados.

Como evitar ataques de phishing?

Aqui estão as 3 principais maneiras de evitar um ataque de phishing:

Use uma VPN

Usar uma VPN é a melhor maneira de evitar um ataque de phishing. Mas você precisará de mais do que uma VPN gratuita ou outra VPN comum. Você deve usar uma VPN premium para acessar recursos exclusivos como FastestVPN. E aqui está a melhor parte, ao contrário de outras opções de alto nível, isso não custa um braço e uma perna. 

Você pode mascarar seu endereço IP e disfarçar sua localização original usando uma VPN. Dito isso, os phishers não poderão acessar suas informações – já que sua conexão está sempre protegida!

Não clique em todos os links recebidos

Mesmo quando o remetente é alguém que você conhece, geralmente não é uma boa ideia clicar em links em e-mails ou mensagens (SMS). 

Algumas tentativas de phishing são sofisticadas, fazendo com que o URL de destino pareça um site legítimo para registrar as teclas digitadas ou coletar furtivamente login/Informação do cartão de crédito. É aconselhável usar um mecanismo de pesquisa para encontrar o site diretamente, em vez de confiar no link fornecido.

Continue girando senhas

Configurar um sistema para alterar senhas regularmente é crucial para pessoas com contas online. Este procedimento é uma precaução preventiva, evitando que invasores obtenham acesso não autorizado. A rotação de senha adiciona uma camada de segurança, bloqueando tentativas contínuas e restringindo possíveis invasores, considerando a possibilidade de contas comprometidas sem descoberta.

Nota final

Seja você uma organização ou um indivíduo, há uma necessidade urgente de educação sobre phishing e vários outros crimes cibernéticos. O phishing fez muitas vítimas ao longo dos anos.

Procure ajuda de entidades de prevenção de crimes cibernéticos em seu estado/país se você foi vítima de golpes.

Subscrever Newsletter

Receba as postagens de tendências da semana e os últimos anúncios de FastestVPN através do nosso boletim informativo por e-mail.

Email