O portal de entrada para os cibercriminosos.
O phishing, aquele clássico ataque empregado há anos por criminosos para obter credenciais e acessos através da falha humana, é um meio relativamente simples de atacar, porém muito eficiente para o crime. Esse tipo de ataque cresce em escala e tem se tornado cada vez mais difícil de detectar.
Muitos dos ataques altamente sofisticados que vemos nos noticiários, que paralisam operações de empresas por dias, até semanas, quando investigados, descobre-se que foram causados por meio de um ataque de phishing: “rede infectada por malware através de phishing, permitindo o acesso indevido”.
Infelizmente, não há solução tecnológica [ainda] que possa interferir nos impulsos nervosos que levam um ser humano a clicar em um link malicioso.
O phishing é um ataque cibernético que usa o e-mail como arma, é um método fraudulento de coleta de informações sensíveis, tais como nomes de usuário, senhas e detalhes de cartões de crédito usando e-mails e websites falsos. O objetivo é enganar o destinatário do e-mail, induzindo-o a acreditar que a mensagem é verdadeira, como uma solicitação de seu banco, por exemplo, ou uma mensagem de alguém de sua empresa que o leva a clicar em um link ou baixar um anexo malicioso, ou fornecer informações importantes.
O que você pode fazer para não cair em golpes de phishing?
Em primeiro lugar, é importante tratar a segurança digital como se fosse a sua segurança física. Fique atento e desconfie, sempre!
Para ajudá-lo a reconhecer um e-mail malicioso e se manter um pouco mais seguro, seguem cinco dicas:
- Empresas legítimas não devem solicitar suas informações confidenciais via e-mail
Se você receber um e-mail não solicitado de uma instituição que fornece um link ou anexo e solicita que você forneça informações sensíveis, desconfie, pois há grandes chances de se tratar de um golpe. Empresas não devem solicitar senhas, informações pessoais ou dados de cartão de crédito via mensagem ou e-mail. - Mesmo que o e-mail se refira a você pelo seu próprio nome, desconfie.
Os e-mails fraudulentos podem usar saudações genéricas como “Prezado membro”, “Caro usuário” ou “Prezado cliente”, como também podem muito bem usar o seu nome, visto que há engenharia social por trás da maioria dos golpes de phishing. - Verifique o remetente e o domínio
Não basta verificar somente o nome da pessoa que lhe envia o e-mail. Verifique o endereço de e-mail também, certifique-se de que nenhuma alteração (como números ou letras adicionais) tenha sido feita. - Confira ortografia e gramática
Muitas vezes, o maior sinal de alerta para um e-mail fraudulento é a má gramática. Um e-mail de uma organização verdadeira deve ser bem escrito. Na realidade, há um propósito por trás de uma sintaxe ruim: criminosos são espertos e sabem que pessoas menos atentas à escrita podem ser alvos mais fáceis. Porém, existem phishing muito bem escritos e elaborados, com ortografia correta e até linguagem apropriada que utiliza termos de linguagem empresarial específicos ao negócio, ao alvo. Sendo assim, continue atento e desconfie. - Cuidado com os links!
Esteja atento aos tipos de arquivos anexos, em caso de dúvida, entre em contato diretamente com a empresa usando as informações de contato obtidas no próprio site. Ainda assim, alguns e-mails fraudulentos são codificados inteiramente como um hyperlink. Portanto, clicar por acidente ou deliberadamente em qualquer lugar do e-mail poderá abrir uma página falsa da web, ou baixar arquivo malicioso em seu dispositivo. Verifique duas vezes as URLs.
Em quase todos os supostos ataques “sofisticados”, métodos conhecidos e previamente identificados e vulnerabilidades são as fontes de exploração.
Cuidar da segurança é um trabalho contínuo e de todos. É importante trazer uma cultura de cibersegurança à organização.
Testes simulados de phishing são extremamente necessários como uma camada adicional de segurança. Hoje, realizá-los com seus próprios usuários é tão importante quanto ter um antivírus e um firewall. É uma maneira eficaz de trazer mais segurança à sua empresa.
A GC Security realiza campanhas que simulam ataques de phishing, onde determinamos o risco dos seus funcionários caírem em golpes, causando vazamentos de dados ou invasões, por exemplo. Monitoramos cliques em links e aberturas de anexos que podem ser maliciosos, criamos relatórios e campanhas de conscientização. A GC Security vai além: através dos insumos e resultados obtidos por uma campanha de phishing específica para o seu negócio, realizamos uma avaliação do impacto e de possíveis danos que podem ser causados por um ataque de phishing.
Solicite mais informações para tornar a sua empresa mais segura!
