Como proteger dinheiro e dados pessoais na Internet

2024 Autor: Malcolm Clapton | [email protected]. Última modificação: 2023-12-17 04:08

Quanto mais informado você estiver, mais difícil será enganá-lo. Aqui está tudo o que você precisa saber sobre phishing com a Microsoft.

Encontre ainda mais dicas sobre como se proteger contra ameaças digitais.

O que é phishing e quão perigoso é

Phishing é um tipo comum de fraude cibernética, cujo objetivo é comprometer e sequestrar contas, roubar informações de cartão de crédito ou qualquer outra informação confidencial.

Na maioria das vezes, os cibercriminosos usam e-mail: por exemplo, eles enviam cartas em nome de uma empresa conhecida, atraindo usuários para seu site falso sob o pretexto de uma promoção lucrativa. A vítima não reconhece o falso, insere o login e a senha de sua conta, e assim o próprio usuário transfere os dados para os golpistas.

Qualquer um pode sofrer. Os e-mails de phishing automatizados geralmente são direcionados a um grande público (centenas de milhares ou até milhões de endereços), mas também existem ataques direcionados a um alvo específico. Na maioria das vezes, essas metas são gerentes de alto escalão ou outros funcionários com acesso privilegiado aos dados corporativos. Essa estratégia de phishing personalizada é chamada de caça às baleias, que se traduz como “captura de baleias”.

As consequências dos ataques de phishing podem ser devastadoras. Os fraudadores podem ler sua correspondência pessoal, enviar mensagens de phishing para seu círculo de contatos, sacar dinheiro de contas bancárias e, geralmente, agir em seu nome de maneira ampla. Se você dirige uma empresa, o risco é ainda maior. Os phishers são capazes de roubar segredos corporativos, destruir arquivos confidenciais ou vazar dados de seus clientes, prejudicando a reputação da empresa.

De acordo com o Relatório de Tendências de Atividades de Phishing do Grupo de Trabalho Anti-Phishing, somente no último trimestre de 2019, especialistas em segurança cibernética descobriram mais de 162.000 sites fraudulentos e 132.000 campanhas de e-mail. Durante esse tempo, cerca de mil empresas de todo o mundo foram vítimas de phishing. Resta saber quantos ataques não foram detectados.

Evolução e tipos de phishing

O termo "phishing" vem da palavra inglesa "fishing". Esse tipo de golpe realmente se assemelha à pesca: o invasor joga a isca na forma de uma mensagem ou link falso e espera que os usuários mordam.

Mas em inglês, phishing é escrito de forma um pouco diferente: phishing. O dígrafo ph é usado em vez da letra f. De acordo com uma versão, esta é uma referência à palavra falso ("enganador", "vigarista"). Por outro lado - para a subcultura dos primeiros hackers, que eram chamados de phreakers ("phreakers").

Acredita-se que o termo phishing foi usado publicamente pela primeira vez em meados da década de 1990 nos grupos de notícias da Usenet. Naquela época, os golpistas lançaram os primeiros ataques de phishing visando clientes do provedor de Internet americano AOL. Os invasores enviaram mensagens solicitando a confirmação de suas credenciais, se passando por funcionários da empresa.

Com o desenvolvimento da Internet, surgiram novos tipos de ataques de phishing. Os fraudadores começaram a falsificar sites inteiros e dominar diferentes canais e serviços de comunicação. Hoje, esses tipos de phishing podem ser distinguidos.

• Phishing de e-mail. Os fraudadores registram um endereço de correspondência semelhante ao endereço de uma empresa conhecida ou de um conhecido da vítima selecionada e enviam cartas a partir dele. Ao mesmo tempo, pelo nome do remetente, design e conteúdo, uma carta falsa pode ser quase idêntica ao original. Somente lá dentro há um link para um site falso, anexos infectados ou uma solicitação direta para enviar dados confidenciais.
• Phishing de SMS (smishing). Este esquema é semelhante ao anterior, mas é usado SMS em vez de e-mail. O assinante recebe uma mensagem de um número desconhecido (geralmente curto) com um pedido de dados confidenciais ou com um link para um site falso. Por exemplo, um invasor pode se apresentar como um banco e solicitar o código de verificação que você recebeu antes. Na verdade, os golpistas precisam do código para invadir sua conta bancária.
• Phishing de mídia social. Com a proliferação de mensageiros instantâneos e mídias sociais, os ataques de phishing também inundaram esses canais. Os invasores podem entrar em contato com você por meio de contas falsas ou comprometidas de organizações conhecidas ou de seus amigos. Caso contrário, o princípio do ataque não difere dos anteriores.
• Phishing de telefone (vishing). Os golpistas não estão limitados a mensagens de texto e podem ligar para você. Na maioria das vezes, a telefonia pela Internet (VoIP) é usada para essa finalidade. O chamador pode se passar por um funcionário do serviço de suporte do seu sistema de pagamento e solicitar dados para acessar a carteira - supostamente para verificação.
• Pesquisar phishing. Você pode encontrar phishing diretamente nos resultados da pesquisa. Basta clicar no link que leva ao site falso e deixar dados pessoais nele.
• Phishing pop-up. Os invasores costumam usar pop-ups. Visitando um recurso duvidoso, você pode ver um banner que promete algum benefício - por exemplo, descontos ou produtos gratuitos - em nome de uma empresa conhecida. Ao clicar neste link, você será levado a um site controlado por cibercriminosos.
• Agricultura. Não está diretamente relacionado ao phishing, mas a agricultura também é um ataque muito comum. Nesse caso, o invasor falsifica os dados DNS redirecionando automaticamente o usuário em vez dos sites originais para os sites falsos. A vítima não vê nenhuma mensagem ou banner suspeito, o que aumenta a eficácia do ataque.

O phishing continua a evoluir. A Microsoft falou sobre as novas técnicas que seu serviço anti-phishing de Proteção Avançada contra Ameaças do Microsoft 365 descobriu em 2019. Por exemplo, os golpistas aprenderam a disfarçar melhor os materiais maliciosos nos resultados da pesquisa: links legítimos são exibidos na parte superior, o que leva o usuário a sites de phishing por meio de vários redirecionamentos.

Além disso, os cibercriminosos começaram a gerar automaticamente links de phishing e cópias exatas de e-mails em um nível qualitativamente novo, o que lhes permite enganar os usuários com mais eficácia e contornar as medidas de segurança.

Por sua vez, a Microsoft aprendeu a identificar e bloquear novas ameaças. A empresa usou todo o seu conhecimento em segurança cibernética para criar o pacote Microsoft 365. Ele fornece as soluções de que você precisa para sua empresa, ao mesmo tempo que garante que suas informações sejam protegidas de maneira eficaz, inclusive contra phishing. A Proteção Avançada contra Ameaças do Microsoft 365 bloqueia anexos maliciosos e links potencialmente prejudiciais em e-mails, detecta ransomware e outras ameaças.

Como se proteger de phishing

Melhore seu conhecimento técnico. Como diz o ditado, quem é avisado está armado. Estude a segurança da informação por conta própria ou consulte especialistas para obter conselhos. Mesmo tendo um conhecimento sólido dos conceitos básicos de higiene digital, você pode evitar muitos problemas.

Tome cuidado. Não siga links ou abra anexos em cartas de interlocutores desconhecidos. Verifique cuidadosamente os detalhes de contato dos remetentes e os endereços dos sites que você visita. Não responda a solicitações de informações pessoais, mesmo quando a mensagem parece crível. Se um representante da empresa pedir informações, é melhor ligar para a central de atendimento e relatar a situação. Não clique em pop-ups.

Use as senhas com sabedoria. Use uma senha única e forte para cada conta. Assine serviços que avisem os usuários se as senhas de suas contas aparecerem na Web e altere imediatamente o código de acesso se ele estiver comprometido.

Configure a autenticação multifator. Esta função protege adicionalmente a conta, por exemplo, usando senhas de uso único. Nesse caso, toda vez que você acessar sua conta a partir de um novo dispositivo, além da senha, será necessário inserir um código de quatro ou seis caracteres enviado a você por SMS ou gerado em um aplicativo especial. Pode não parecer muito conveniente, mas essa abordagem o protegerá de 99% dos ataques comuns. Afinal, se os fraudadores roubam a senha, eles ainda não poderão entrar sem um código de verificação.

Use recursos de login sem senha. Nesses serviços, sempre que possível, você deve abandonar completamente o uso de senhas, substituindo-as por chaves de segurança de hardware ou autenticação por meio de um aplicativo em um smartphone.

Use um software antivírus. Um antivírus atualizado ajudará parcialmente a proteger seu computador de malware que redireciona para sites de phishing ou rouba logins e senhas. Mas lembre-se de que sua principal proteção ainda é a adesão às regras de higiene digital e às recomendações de segurança cibernética.

Se você dirige um negócio

As dicas a seguir também serão úteis para proprietários e executivos de empresas.

Treine funcionários. Explique aos subordinados quais mensagens devem ser evitadas e quais informações não devem ser enviadas por e-mail e outros canais de comunicação. Proibir os funcionários de usar o correio corporativo para fins pessoais. Instrua-os sobre como trabalhar com senhas. Também vale a pena considerar uma política de retenção de mensagens: por exemplo, para fins de segurança, você pode excluir mensagens anteriores a um determinado período.

Conduza ataques de phishing de treinamento. Se você quiser testar a reação de seus funcionários ao phishing, tente fingir um ataque. Por exemplo, registre um endereço de correspondência semelhante ao seu e envie cartas dele para os subordinados, pedindo-lhes que forneçam dados confidenciais.

Escolha um serviço postal confiável. Os provedores de e-mail gratuitos são muito vulneráveis às comunicações comerciais. As empresas devem escolher apenas serviços corporativos seguros. Por exemplo, os usuários do serviço de e-mail Microsoft Exchange, que faz parte do pacote Microsoft 365, têm proteção abrangente contra phishing e outras ameaças. Para combater os fraudadores, a Microsoft analisa centenas de bilhões de e-mails todos os meses.

Contrate um especialista em segurança cibernética. Se seu orçamento permitir, encontre um profissional qualificado que fornecerá proteção contínua contra phishing e outras ameaças cibernéticas.

O que fazer se você for vítima de phishing

Se houver motivos para acreditar que seus dados caíram em mãos erradas, aja imediatamente. Verifique se há vírus em seus dispositivos e altere as senhas das contas. Informe a equipe do banco que seus detalhes de pagamento podem ter sido roubados. Se necessário, informe os clientes sobre o vazamento potencial.

Para evitar a recorrência de tais situações, escolha serviços de colaboração confiáveis e modernos. Os produtos com mecanismos de proteção integrados são os mais adequados: funcionará da forma mais conveniente possível e você não terá que arriscar a segurança digital.

Por exemplo, o Microsoft 365 inclui uma gama de recursos de segurança inteligentes, incluindo proteção de contas e logins contra comprometimento com um modelo de avaliação de risco integrado, sem senha ou autenticação multifator que não requer licenças adicionais.

Além disso, o serviço oferece controle de acesso dinâmico com avaliação de risco e levando em consideração uma ampla gama de condições. Além disso, o Microsoft 365 contém automação integrada e análise de dados, e também permite que você controle dispositivos e proteja informações contra vazamentos.