Você sabia que, apenas neste início de 2024, já houve mais de 1,5 milhão de tentativas de fraude de identidade no país? É o que mostram os dados obtidos pelo Fraudômetro da primeira Datatech do Brasil e a maior da América Latina – a Serasa Experian.

Se você chegou até o nosso conteúdo, certamente está familiarizado com esse tipo de indicador e deve ter escutado falar sobre o phishing, não é mesmo? Afinal, ele está entre um dos crimes cibernéticos que mais tem aumentado atualmente, tomando grande espaço quando o assunto é tentativa de roubo de dados confidenciais.

Apesar de a cibersegurança ter se desenvolvido exponencialmente com os avanços da revolução tecnológica (aumentando a proteção de sistemas, redes e programas contra invasões, alterações ou destruição de dados), os cibercriminosos também buscam a excelência nas operações para burlar a proteção em camadas dos diversos tipos de soluções existentes.

Por isso, é crucial que as empresas recorram a mais de uma ferramenta de proteção. Isso é importante para estar a salvo caso alguma das etapas sobrepostas de segurança falhe e para que os clientes não sejam vítimas dos golpistas que pretendem usar as informações roubadas para cometer outros crimes.

Neste conteúdo, vamos tratar especialmente dos principais assuntos que envolvem a engenharia social do phishing e do spear phishing, que fazem parte dos tipos de ameaças mais nocivos para a sociedade e para empresas de todos os portes e segmentos. Continue a leitura e aproveite os insights!

Afinal, o que é phishing?

O phishing é uma técnica de engenharia social que consiste no envio massivo de e-mails em nome de grandes empresas para enganar usuários. Eles abrem essas mensagens e são induzidos a fornecer dados confidenciais, como nome de usuário, senhas e detalhes de cartões de crédito.

Para ficar mais simples de visualizar, vamos a um caso prático: sabe quando recebemos um e-mail que aparenta ser importantíssimo, mas, quando o abrimos, a mensagem contida nos induz a deixar o bom senso de lado e clicar em um link com medo e urgência? Pois é.

Pode ser um texto informando que uma transação foi feita indevidamente em um banco no qual temos conta, que houve tentativas de acesso a uma conta de usuário do Google ou da Microsoft ou, ainda, que a assinatura da Netflix foi bloqueada por falhas no método de pagamento.

 

Como um ataque de phishing funciona?

Em todos esses exemplos citados no tópico anterior, é solicitado que o usuário clique em um link, que o redireciona para uma página idêntica à da instituição da qual o golpista finge fazer parte. Alguns exemplos são bancos, órgãos governamentais, plataformas de streaming, colegas de trabalho e até o RH da empresa em que se trabalha.

Geralmente, eles induzem ao clique com mensagens que convencem facilmente o usuário a alterar uma senha de acesso devido a uma suposta atividade suspeita, confirmar os dados do cartão de crédito que pode estar sendo burlado ou até resgatar uma restituição de imposto pago indevidamente. A criatividade dos criminosos não tem limites, e, acredite, eles conseguem o que querem na maioria das vezes!

A grande sacada do phishing é que esses especialistas em crimes que envolvem a fraude de identidade não exploram a vulnerabilidade técnica dos sistemas internos dos dispositivos. Afinal, eles sabem muito bem da dificuldade de quebrar a segurança de um iOS, Windows, Android ou qualquer outro sistema operacional atual.

Como já destacamos, eles utilizam a engenharia social para atacar o computador mais vulnerável e poderoso do mundo: a mente humana. Por isso, independentemente de quão eficiente for a segurança do sistema, o phishing obtém o que precisa sem invasões, já que os próprios usuários acabam fornecendo os dados solicitados.

Ao sermos ingênuos e desatentos, facilitamos o acesso dos ladrões a informações sensíveis, como identidades, contas bancárias e dados confidenciais, possibilitando a prática de crimes ainda mais graves, como a venda desses dados no mercado clandestino!

Os ataques de phishing por si só são uma ameaça resistente no mundo tecnológico. Para dificultar mais o cenário de prevenção à fraude em camadas de organizações e indivíduos, eles ainda podem ser divididos em subcategorias direcionadas especificamente a alvos específicos.

O spear phishing, por exemplo, é um tipo de ataque personalizado que mira empresas e indivíduos específicos. Nele, há um alvo a ser atacado. Além de roubar informações confidenciais, também tem a intenção de burlar os sistemas internos e infectar os devices com diversos tipos de malware.

O que é o spear phishing e qual a diferença entre ele e o phishing?

Apesar de os dois serem ataques cibernéticos altamente perigosos que induzem as vítimas a compartilhar informações e dados sensíveis, existem pequenas diferenças de atuação do phishing e do spear phishing.

Geralmente, o primeiro envolve o envio de e-mails completamente genéricos, criados para fisgar qualquer pessoa ou organização que clique no link infectado, sem preferência de dados a serem roubados ou de perfil de usuário. Eles são utilizados para fins que envolvam o roubo de identidade, a fraude financeira ou a venda na dark web.

Por sua vez, o spear phishing é estrategicamente desenvolvido para atingir um alvo previamente estabelecido. Aqui, os cibercriminosos desenvolvem e-mails com técnicas muito mais sofisticadas, aumentando as chances de atingir com sucesso a vítima selecionada.

Para isso, os e-mails simulam com fidelidade os ambientes de instituições que são legítimas, geralmente com as quais o destinatário já tem algum vínculo prévio e recebe mensagens com recorrência. Dentro dessa padronização personalizada do spear phishing, estão, ainda, o whaling e o Business Email Compromisse (BEC).

O primeiro, whaling, mira executivos de alto escalão e indivíduos com perfis de gerência e liderança – como membros de conselhos, políticos, celebridades e outros. Os e-mails direcionados tentam roubar, principalmente, informações financeiras, sensíveis ou confidenciais que causarão significativos danos financeiros ou de reputação.

Já os BECs são spear phishings que se passam por funcionários de uma empresa específica para disseminar as fraudes financeiras nas companhias. Pode ser um e-mail que pareça ter sido enviado de um gestor ou sócio, fazendo com que o funcionário responsável pelas finanças pague uma fatura fraudulenta ou que transfira fundos para uma conta fantasma que supostamente seria do setor executivo.

Além disso, é essencial conhecer os principais riscos que o phishing representa, afinal, não adianta saber o que a prática em si significa, de forma mais abrangente, mas não entender o que está realmente em risco com esse tipo de malware. Por isso, vamos tratar especificamente do assunto a seguir. Confira!

Quais são os principais riscos do phishing?

Os ataques de phishing apresentam uma série de riscos significativos, tanto para indivíduos isolados quanto para a sociedade e para as organizações do mundo inteiro.

A dimensão desses impactos afeta não somente o meio virtual, mas também a vida real de todas as vítimas suscetíveis ao roubo de informações. Entre eles, os que mais se destacam são:

  • Comprometimento e divulgação não autorizada de informações confidenciais, como números de cartão de crédito, senhas e dados pessoais, levando a roubos de identidade, transações não autorizadas, compras fraudulentas e outros tipos de crimes cibernéticos;
  • Invasão de privacidade das vítimas, com o acesso a informações pessoais e íntimas que podem ser usadas para outros diversos crimes, como chantagem, extorsão, coação ou constrangimento ilegal;
  • Prejuízos financeiros significativos, sejam por meio do roubo direto de fundos de contas bancárias ou de cartões de crédito, sejam por fraudes relacionadas – como compras não autorizadas e solicitações de empréstimos fraudulentos;
  • Danos à reputação de empresas e instituições, levando à perda de confiança de clientes e parceiros devido à violação de segurança, resultando na perda de negócios e de oportunidades futuras;
  • Disseminação de diversos tipos de malwares e spywares, que infectam os sistemas de computadores e os dispositivos móveis e causam significativos danos, perda de dados e interrupção das operações cotidianas;
  • Comprometimento de sistemas internos e consequente interrupção dos serviços, afetando clientes, parceiros e funcionários, o que resulta na perda de receita, em custos de recuperação e em danos à reputação.

Diante de todas essas situações, fica evidente a vulnerabilidade à qual as empresas estão sujeitas. Independentemente da quantidade de ferramentas que atuam na prevenção aos ataques criminosos, é essencial também contar com soluções que agem pontualmente caso falhe alguma das camadas de proteção antifraude – como a autenticação de dois fatores.

Para evitar isso, trouxemos algumas dicas de como identificar um ataque de phishing. Veja a seguir.

Como identificar um ataque de phishing?

Além de ser vital conhecer os tipos de fraude que mais preocupam empresas e usuários, é crucial estar atento e saber identificar um ataque de phishing. Esse processo nem sempre é fácil, pois requer disciplina e senso analítico bem direcionados. Com as dicas que elencamos a seguir, essa análise pode ser feita com muito mais praticidade. Veja o que caracteriza essa tentativa de roubo de dados:

  • E-mails com ofertas que não condizem com a realidade. Quem nunca recebeu uma mensagem informando que ganhou na loteria, uma viagem internacional ou um reembolso de alto valor? Infelizmente, essa é a típica tática de phishing utilizada para fisgar os mais leigos;
  • Mensagens de pessoas que você conhece, mas com quem raramente tem contato. Fique ainda mais atento se estiver em cópia do mesmo e-mail enviado para pessoas aleatórias, que você não faz ideia de quem sejam;
  • CTAs (ações) que induzem a um senso de urgência e a tomar atitudes precipitadas, sem raciocinar antes. Esses tons alarmistas, geralmente, vêm no formato de clique para “agir agora”, “evite que sua conta seja cancelada” ou “se não foi você, clique aqui”. As empresas reais nunca mandam esse tipo de mensagem pela internet;
  • Anexos estranhos ou inesperados, como uma nota fiscal que não emitimos, uma multa desconhecida ou um comprovante de compra que não foi feita. Muitas vezes, essa dúvida faz com que os usuários cliquem no arquivo para conferir a veracidade, e é assim que os ransomwares contaminam os dispositivos;
  • Endereços de e-mail estranhos ou suspeitos, que se diferem dos legítimos das empresas ou organizações;
  • Links contidos nos e-mails: passe o mouse sobre eles (sem clicar) e preste atenção se o URL é do remetente real. Os golpistas, muitas vezes, usam URLs falsos que parecem legítimos à primeira vista, mas redirecionam para sites maliciosos;
  • Erros de gramática e ortografia também são comuns. Muitos ataques de phishing são perpetrados por indivíduos que não falam o idioma nativamente, resultando em erros que podem ser indicadores de um e-mail de phishing.

E se ainda pairam dúvidas quanto à legitimidade de uma mensagem ou informação, é imprescindível entrar em contato diretamente com a empresa ou organização responsável para verificar a autenticidade do e-mail!

Como posso me proteger dos ataques de phishing?

O primeiro passo para um usuário ou uma empresa ter segurança nos sistemas e nos dados internos é, sem dúvida, contar com algum tipo de software ou segurança antimalware. Os antivírus são uma boa opção, mas nunca suficientes. Por isso, é essencial optar também por backups, atualização constante de senhas e assim por diante.

Como salientamos no decorrer do nosso conteúdo, o phishing é uma ameaça diferente das tradicionais. Ele age diretamente sobre quem já tem o controle dos dispositivos, induzindo-o a fornecer dados por conta própria. Um ataque de phishing pode ocorrer em um site que possui um certificado SSL válido, o que acaba enganando os usuários.

Em outras palavras, a criptografia dos dados transmitidos não protege contra a manipulação psicológica das vítimas, muito menos detecta ou impede a falsificação de identidade, já que os dados são transmitidos de forma segura, mas para o servidor errado. Então, quais medidas devem ser tomadas para que o roubo de informações seja realmente prevenido? Confira abaixo:

  1. Esteja ciente de sinais comuns de phishing, como erros gramaticais ou ortográficos, pressão para agir rapidamente e solicitações de informações pessoais ou financeiras;
  2. Ao deparar-se com um e-mail suspeito, examine minuciosamente todas as informações contidas antes de clicar em qualquer elemento ou anexo;
  3. Antes de inserir uma informação importante em um site, procure sinais de segurança, como o ícone de cadeado na barra de endereço e certificados SSL válidos. Como mencionamos, essa não é uma garantia de que o site seja legítimo, mas as páginas originais usam HTTPS porque é bem mais seguro;
  4. Se receber um e-mail com links, evite clicar diretamente neles. Em vez disso, passe o mouse sobre ele para ver o URL real e verifique se corresponde ao site esperado. Se ainda tiver dúvidas, acesse o site diretamente digitando o endereço no navegador;
  5. Mantenha o sistema operacional, o navegador da web e os programas de segurança sempre atualizados, a fim de se proteger contra vulnerabilidades conhecidas e frequentemente exploradas por esse tipo de golpista virtual;
  6. Não forneça suas informações pessoais por telefone ou por qualquer software tecnológico;
  7. A educação é uma das melhores defesas contra ataques cibernéticos. Por isso, busque estar sempre informado sobre crimes virtuais e compartilhe esse conhecimento com pessoas próximas.

É importante ter em mente que, apesar das informações que trouxemos sobre como se defender dos ataques de phishing – com camadas como a autenticação multifatorial, por exemplo –, é possível que os golpistas ainda consigam ter êxito no roubo de dados reais. Para não correr o risco de ter prejuízos significativos em sua empresa decorrentes desta situação, a gente sempre reforça a importância de usar mais de uma solução antifraude na sua estratégia.

O AllowMe – maior big data para validação de dispositivos do país – é uma empresa parte da Serasa Experian. Juntas, colaboram para que as organizações (e, por consequência, a população) não sejam vítimas de fraudadores que pretendem roubar dados sensíveis e cometer crimes ainda piores.

Conte com as ferramentas de prevenção à fraude da Serasa Experian!

Nós oferecemos as mais robustas e eficazes soluções em camadas para as etapas de onboarding, autenticação de contas e fluxo transacional. Elas ajudam organizações de todos os portes e segmentos a proteger seus ambientes digitais e a garantir segurança para a mitigação dos impactos decorrentes de crimes como o phishing.

A análise e verificação de dispositivos ajuda a detectar atividades suspeitas em uma experiência sem atritos para os usuários legítimos, o que facilita as operações comerciais e torna o dia a dia das pessoas muito mais seguro. Em todas as opções, os principais benefícios em comum são:

  1. Monitoramento de atividades suspeitas em contas e transações online. Se houver atividades incomuns, como tentativas de login de locais diferentes ou compras não autorizadas, serão enviados alertas para que medidas imediatas sejam tomadas;
  2. Análise de padrões de comportamento de usuários legítimos, ajudando a identificar atividades atípicas que podem indicar um ataque de phishing em andamento, como acessos a partir de dispositivos desconhecidos;
  3. Verificação de identidade dos usuários por meio de métodos de autenticação robustos, como autenticação multifatorial e biometria, dificultando que os golpistas acessem contas online mesmo se tiverem credenciais de login roubadas;
  4. Análise de URLs suspeitos e classificação de sites da web em termos de segurança, incluindo a identificação de sites de phishing conhecidos e a emissão de alertas aos usuários para evitar interações com esses websites maliciosos;
  5. Recursos educacionais para ajudar os usuários a reconhecer sinais de phishing e aprender boas práticas de segurança cibernética, capacitando-os para tomarem medidas proativas, proteger suas informações pessoais e evitar cair em golpes de fraude de identidade.

Combinando todos os insights deste conteúdo com as nossas soluções estratégicas de prevenção à fraude, as organizações e os usuários finais estarão bem protegidos dos impactos decorrentes de ataques por phishing e demais malwares, garantindo que as experiências online tenham a maior confiabilidade possível.

Esperamos que você tenha gostado do assunto. Se tem interesse em aprender mais sobre segurança para aumentar a confiabilidade da sua organização, não deixe de conferir também como o mercado utiliza GenAI para prevenir fraudes. Te esperamos lá!