O que é um esquema de phishing?
Phishing é phishing, não é fishing, um termo criado a partir de fishing e sophisticated, que significa sofisticado.
Os e-mails de phishing e os esquemas de phishing são actividades criminosas em que os cibercriminosos enganam os indivíduos para que divulguem informações sensíveis, tais como nomes de utilizador, palavras-passe, números de cartões de crédito e números da segurança social. Trata-se de uma técnica de ataque bastante desagradável que já foi observada em meados da década de 1990 e que tem vindo a ser utilizada até aos dias de hoje há cerca de 30 anos.
As mensagens de correio eletrónico de phishing podem ser bastante inteligentes, fazendo parecer que provêm de uma organização legítima ou de um contacto conhecido, pelo que é preciso ter cuidado. Muitas vezes contêm ligações para sítios Web fraudulentos que se assemelham a sítios Web legítimos ou anexos com software malicioso incorporado. Tenha em atenção que, se clicar nessas ligações maliciosas ou descarregar anexos, pode ser direcionado para sítios Web fraudulentos que recolhem informações pessoais ou o seu sistema pode ser infetado com malware.
Características comuns dos e-mails de phishing
Linguagem urgente ou ameaçadora: pode incluir avisos de que a conta será encerrada, de que existe um saldo devedor, etc., o que torna o destinatário impaciente e o incita a tomar medidas imediatas.
Erros ortográficos e gramaticais: erros gramaticais e ortográficos são frequentemente sinais de e-mails de phishing.
Incompatibilidades de URL: ao passar o rato por cima de uma hiperligação, pode verificar-se que o endereço Web é diferente do do suposto remetente.
Pedidos de informações pessoais: as organizações legítimas não costumam pedir informações sensíveis por correio eletrónico.
É importante recordar estas características. E há uma contra-medida que pode ser ainda melhor. Ou seja, não carregar inadvertidamente num URL e não descarregar anexos. É uma boa ideia fazer destas duas coisas os seus princípios.
É uma mudança de mentalidade abrir excepções a esse tipo de descarregamento ou abertura de ficheiros apenas se tiver a certeza da identidade e do objetivo da pessoa, ou se tiver a certeza de que alguém disse que lhe ia enviar o ficheiro. (Isto é irritante, mas não pode ser evitado).
Tipos de phishing
Existem diferentes tipos de esquemas de phishing
Spear phishing: um ataque de phishing em que os burlões personalizam as mensagens de correio eletrónico para atingir indivíduos específicos.
Clone phishing: duplicação de uma mensagem de correio eletrónico legítima de uma organização de confiança e substituição do seu conteúdo e ligações por outros maliciosos.
Whaling: um subconjunto do spear phishing, que visa indivíduos de alto nível, como directores executivos e directores financeiros.
Pharming: direcionar os utilizadores de um sítio Web legítimo para um sítio Web fraudulento.
Defesas gerais contra o phishing
As medidas gerais atualmente possíveis incluem
Filtros de correio eletrónico para identificar e colocar em quarentena os e-mails de phishing.
Educação e formação dos utilizadores para identificar o phishing.
Segurança reforçada através da autenticação de dois factores (2FA).
Actualizações regulares do software para corrigir vulnerabilidades de segurança.
Fraudes de phishing que não desaparecem
O phishing baseia-se mais em erros humanos do que em vulnerabilidades técnicas. É por isso que continua a ser uma das formas de ataque mais prevalecentes, apesar de ser um ataque clássico que existe desde os primórdios da Internet.
De facto, o FBI comunicou mais casos do que qualquer outro crime informático. Por conseguinte, para se proteger contra este tipo de fraude clássica, a sensibilização e a educação, também clássica, continuam a ser factores-chave.
コメント