O objetivo dos ataques de phishing é fazer com que o utilizador forneça acidentalmente informações sensíveis, dê acesso a uma rede ou descarregue malware.
No início, os ataques de phishing eram bastante básicos e utilizavam uma mensagem de correio eletrónico com uma hiperligação incorporada para o indivíduo desprevenido clicar. No entanto, atualmente, os ataques de phishing podem ser muito mais sofisticados - podem até incluir sítios Web HTTPS. Por exemplo, o HTTPS pode impedir o roubo de dados e os ataques man-in-the-middle. Mas também pode permitir que o tráfego malicioso seja escondido por detrás da encriptação. Uma vez que o gateway seguro não pode inspecionar os dados encriptados, deixa passar tudo, incluindo código malicioso.
Um exemplo de um ataque de phishing moderno e sofisticado é a utilização de nomes de domínio com erros de digitação. Embora pareça muito técnico, na realidade é bastante simples. Os criminosos criam um site Web que se faz passar pelo Adobe, mas o seu endereço Web utiliza o caracter latino "ḅ" em vez do "b" normal, pelo que se obtém "adoḅe.com" - repare no ponto por baixo do b.
A partir daí, o pirata pode transformar "adoḅe.com" num site HTTPS e criar vários outros sub-sites. Um site como "get.adoḅe.com" pode ser criado e enviado por correio eletrónico para as contas-alvo como uma hiperligação. E, claro, as hiperligações têm um sublinhado que mascara o caracter falso, o que significa que a ligação parece 100% legítima. Como no exemplo abaixo, o ponto por baixo do "b" não pode ser visto porque o sublinhado da hiperligação o cobriu:
Este é apenas um exemplo e há muitas formas de ataques de phishing. No entanto, existem medidas práticas para combater os ataques de phishing e minimizar o risco:
- Dê formação aos seus empregados sobre a forma como podem identificar mensagens de correio eletrónico maliciosas e o que fazer em relação a elas. Faça simulações de campanhas de phishing e teste-as contra phishing.
- Certifique-se de que os funcionários utilizam palavras-passe fortes e únicas para as suas contas de trabalho e comunique que as palavras-passe para as contas da empresa devem ser diferentes das suas contas de correio eletrónico pessoais.
- Utilizar a autenticação multi-fator (MFA) para reduzir o risco de roubo de contas.
- Informe o pessoal sobre os riscos relacionados com as redes sociais. Incentive-os a não publicar informações relacionadas com o trabalho em plataformas públicas de redes sociais que possam ser utilizadas para identificar o empregador, o cargo e as responsabilidades, etc., e utilizadas para um ataque de phishing direcionado.
- Instalar um gateway de correio eletrónico seguro com anti-spam, anti-malware e filtragem baseada em políticas. Isto pode também incluir SPF (Sender Policy Framework), DMARC (Domain-based Message Authentication, Reporting and Conformance) e DKIM (Domain Key Identified Mail), bem como deteção de anomalias em mensagens de correio eletrónico recebidas e enviadas.
- Se tiver dúvidas sobre uma mensagem de correio eletrónico ou ligações suspeitas, comunique-as imediatamente à sua equipa de segurança. Esta pode verificar o correio eletrónico e abrir quaisquer ligações ou sites suspeitos num ambiente de teste.
- Reveja as medidas de atenuação e assegure-se de que as actualizações do sistema são feitas periodicamente.
O phishing pode ser realizado através de correio eletrónico, mensagens de texto, redes sociais ou por telefone. Com os ataques de phishing a tornarem-se cada vez mais sofisticados e difíceis de detectar, é crucial manter-se vigilante e informado para os evitar. A equipa da Ebury está aqui para ajudar os nossos clientes a adotar as melhores práticas para proteger as suas informações confidenciais.
📩 Se precisar de aconselhamento sobre questões relacionadas com fraudes, contacte-nos através de fraud@ebury.com.
