Todo mundo que conhece um pouquinho mais sobre cibersegurança sabe que o phishing é uma das principais ameaças na internet. Como o nome sugere, o phishing é um tipo de golpe que tenta “pescar” informações e dados tentando enganar a vítima com e-mails, mensagens, sites e até ligações falsas. É por isso que é preciso ter cuidado com mensagens e e-mails que exigem o pagamento de contas e a atualização de informações.
O phishing por si só já é perigoso. Mas quando ele é associado à engenharia social se torna ainda mais devastador. A engenharia social é uma tática que permite ao cibercriminoso utilizar informações da vítima contra ela própria. Basicamente, o invasor vasculha a internet, incluindo redes sociais como Facebook, Linkedin e Twitter, em busca de informações para que o golpe tenha mais chances de sucesso.
Da aliança entre o phishing e a engenharia social nasceu o spear phishing. Ao contrário do phishing que se trata de um ataque em massa, o spear phishing é um golpe direcionado, com foco específico em uma pessoa, um grupo ou até mesmo uma empresa. Neste sentido, a engenharia social potencializa o ataque do invasor, permitindo que ele manipule as vítimas com mais facilidade.
Sabemos que nem sempre é fácil reconhecer um ataque. Mas a educação sobre ameaças (a chamada security awareness ou consciêncização em segurança) ainda é uma das formas mais eficazes de defesa. Quanto mais conhecimento, melhor. Seguindo essa ideia, criamos uma lista dos 5 tipos mais comuns de iscas que os phishers usam em e-mails e mensagens para te atrair.
5 iscas usadas pelos phishers para pegar você
1. Spoofing de e-mail
O spoofing de e-mail acontece quando o cibercriminoso usa uma conta de e-mail hackeada ou um endereço de e-mail similar ao original para enganar as suas vítimas. Imagine que um funcionário tenha a conta de e-mail comprometida e agora o invasor está enviando e-mails para parceiros solicitando o pagamento de faturas falsas.
2. Spoofing de site
O spoofing de site é muito utilizado em golpes de phishing e de spear phishing. Ele acontece quando o criminoso cria sites fakes com o objetivo de ganhar a confiança das vítimas para roubar dados e informações importantes. O spoofing de site costuma estar vinculado ao spoofing de e-mail, já que muitos criminosos enviam e-mails com links para sites falsos.
3. Links e anexos maliciosos
Duas iscas muito utilizadas por golpes de phishing e de spear phishing são anexos e links maliciosos. No caso do vazamento de dados da Sony Pictures, em 2014, tudo indica que os hackers tiverem acesso ao sistema da empresa usando links maliciosos e e-mails que aparentemente seriam da Apple. Mas não eram.
4. Assuntos urgentes e iscas de textos
Os assuntos urgentes e os textos bem elaborados são outras iscas muito utilizadas pelos phishers. No caso das fraudes chamadas de príncipe nigeriano, por exemplo, o fraudador conta uma história convicente mas que, no fim, é falsa e vai terminar com você tendo prejuízo financeiro. No caso de fraudes envolvendo o nome de bancos, você pode receber um e-mail com um assunto urgente dizendo que precisa alterar os dados da sua conta por motivos de segurança.
5. Falsificação de identidade
Neste caso de isca, o invasor se aproveita de alguém em quem a vítima confia para aplicar o golpe. Sendo alguém de “confiança”, as chances do golpe darem certo são maiores, certo? Vamos pegar o caso do vazamento de dados da RSA, uma empresa de segurança, em 2011. A empresa foi hackeada porque funcionários interagiram com e-mails de alguém aparentemente próximo. O assunto era algo como “Plano de Recrutamento”.