No mundo online, a segurança cibernética precisa acompanhar cada vez mais um número crescente de ameaças. E essas ameaças aumentam diariamente.

Os métodos com os quais os criminosos cibernéticos orquestram e aplicam seus golpes são cada vez mais criativos.

Uma tendência bastante observada agora, por exemplo, é o uso de mensagens aparentemente inofensivas, reclamações de criminosos que se passam por consumidores insatisfeitos tentando solucionar um problema com alguma empresa.

O perigo é que, nestas mensagens, os golpistas inserem links de phishing – e, se o funcionário não tomar os cuidados necessários, essa pode ser a porta de entrada para ações maliciosas.

Se você se preocupa com aspectos de segurança cibernética, aprenda aqui quais são os principais sinais para identificar este ataque e como se prevenir.

O que é phishing?

O termo vem da língua inglesa e é usado para designar a obtenção de informações (dados em geral) confidenciais sem a autorização, o conhecimento ou o consentimento das partes que detêm estas informações.

Basicamente, nós podemos entender phishing como a ação de roubar informações, roubar dados – ou seja, uma modalidade de crime virtual. Geralmente, os criminosos procuram por nomes de usuário, senhas, dados bancários (como as informações do cartão de crédito), acesso das redes sociais, acessos de plataformas em nuvem, etc.

Para as empresas, isto representa um grave perigo de perder a integridade de dados financeiros, segredos corporativos, informações dos clientes (e dos funcionários) e uma série de outros dados sigilosos e particulares.

Os principais tipos de phishing

Há três tipos principais de técnicas de phishing. Uma das mais comuns é o clone phishing, que tenta enganar a vítima através de um website clonado (falso, mas praticamente idêntico ao original), por meio do qual a vítima digita seus dados pessoais e informações de acesso – por exemplo: uma página falsa do Facebook, na qual a vítima digita as credenciais de acesso, permite ao criminoso acessar os dados para se conectar à conta real da pessoa.

Outra modalidade é a do whaling (que, para uma tradução livre, significaria algo como “pesca de baleias”). Como o nome já diz, esta variação de phishing tem como alvo, dados mais “valiosos” – informações de grandes empresas, bancos, agências de governo, pessoas proeminentes, etc. A forma mais comum de aplicar o whaling é por meio de falsas mensagens de avisos judiciais, bancários, reclamações de clientes ou qualquer questão do meio empresarial/corporativo. São mensagens muito mais bem elaboradas do que os e-mails maliciosos que você já deve ter recebido (que são cheios de erros de ortografia, por exemplo).

O terceiro tipo é o spear phishing (phishing de lança), que tem como alvo, pessoas e entidades específicas e que consiste em, primeiramente, coletar o máximo de informações (mesmo genéricas) sobre o maior número de pessoas para, assim, aumentar as chances de êxito do ataque. Ela é a mais recorrente e a mais eficiente.

As novas formas de phishing

Listamos três métodos principais de aplicação de phishing, mas há uma enorme variedade dentro de cada um destes métodos, e muitos deles envolvem elementos de mais de um tipo.

Agora, um novo fenômeno de ataques acontece e é direcionado especialmente para empresas, corporações, entidades de governo – enfim, grupos que lidam com uma grande quantidade de pessoas e informações.

Assim, é importante saber alguns pontos comuns a estas técnicas, mas é mais essencial ainda conseguir acompanhar as inovações, variações e novas modalidades de ataques cibernéticos que surgem constantemente.

Ataques às empresas, corporações e agências

Em abril deste ano, empresas como a BleepingComputer (uma plataforma online dedicada à ajuda, troca de informações e assistência técnica computacional) relataram que vários de seus empregados afirmaram receber e-mails com falsas reclamações de usuários, mensagens contendo links para a criação de 'backdoors' (um método para burlar criptografias e criar uma “porta de entrada” irregular em uma rede ou sistema) usadas para hackear e invadir a rede da empresa.

A mensagem mais comum nestes e-mails vinha acompanhada de uma identificação falsa de “Corporate Lawyer” (“advogado da empresa”). Os títulos mais comuns eram: “Re: customer complaint in” (Re: reclamação do consumidor – seguido do nome da empresa alvo do golpe).

No corpo da mensagem, há o aviso de que um cliente abriu uma reclamação contra a empresa e que o empregado terá parte do salário descontada caso ignore a solicitação. Obviamente, isto é falso: o objetivo é pressionar o funcionário a clicar no link e, assim, permitir a invasão do sistema.

Como se proteger

Felizmente, para toda ameaça existe um mecanismo de defesa que anula ou, no mínimo, diminui os riscos e, consequentemente, quaisquer efeitos colaterais.

Um dos melhores mecanismos é treinar adequadamente todos os funcionários de uma empresa, agência, órgão ou corporação (enfim, todas as pessoas de um ambiente de trabalho) sobre aspectos básicos de segurança cibernética e comportamentos responsáveis no uso dos dispositivos, das redes, da intranet (rede interna) e da internet em sua totalidade.

É preciso haver um canal específico para comunicações entre a empresa e os clientes, entre a empresa e outras empresas e, claro, entre o grupo e questões jurídicas.

Questões judiciais não são resolvidas por e-mail, mensagens de aplicativos ou SMS. Elas são comunicadas por escrito, pelos órgãos responsáveis, e definidas nos lugares competentes. Se há uma ação jurídica movida por algum indivíduo contra a empresa, ela não será comunicada por uma mensagem de e-mail que praticamente te força a clicar em um link estranho.

É preciso saber identificar estas mensagens estranhas. Se algo não parece correto, simplesmente não clique em nada, não baixe nenhum arquivo nem insira nenhuma informação em qualquer formulário. Na dúvida, é melhor entrar em contato com um especialista do setor.

Uma VPN também ajuda a melhorar a integridade de uma rede – e há várias opções interessantes criadas especificamente para empresas.

Dicas adicionais de segurança

Além disso, é importante manter um bom firewall e software antivírus profissional. Outra dica importante é criar critérios e parâmetros para bloquear e-mails maliciosos. Vale a pena evitar baixar arquivos executáveis de plataformas como Google Docs e habilitar as extensões dos arquivos para, assim, saber identificar melhor com o que você está lidando.

A melhor defesa contra phishing e todas as formas de crimes virtuais é realizar treinamentos constantes com as equipes da empresa, orientar os funcionários sobre rotinas de segurança e dispor de especialistas em TI e segurança cibernética para realizar estes procedimentos.

É interessante também usar uma boa VPN capaz de abranger vários dispositivos – elas ajudam a aumentar a criptografia, a integridade e a segurança da rede e de todos os equipamentos conectados a ela.

Monitore Grátis