Entenda definitivamente o que é phishing e não seja a próxima vítima

Ataques virtuais são cada vez mais frequentes e, entre as iscas mais comuns, estão falsas comunicações que chegam por e-mail e levam a sites ilegítimos
Roseli Andrion11/07/2019 23h38

20190711083750

Compartilhe esta matéria

Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

Já somos 7,6 bilhões de pessoas no mundo. Só na internet, há 4,4 bilhões delas — ou seja, quase 58% da população do planeta está online. Por isso, nos anos recentes, houve uma explosão na quantidade de usuários de smartphones, computadores e tablets.

Nas redes sociais, já há 3,5 bilhões de usuários ativos e, dos 3,8 bilhões de smartphones em uso, 3,2 bilhões acessam apps sociais com frequência. Assim, há cada vez mais dispositivos conectados e a produção de dados por segundo tem aumentado consideravelmente.

Essas novas tecnologias levam a modelos de negócio inovadores, em que a informação pode ser o que de fato faz a diferença. Como o volume de dados produzidos no universo digital dobra a cada ano, estimativas da consultoria IDC indicam que ele deve chegar a 44 trilhões GB (44 ZB) em 2020.

Em meio a todas essas transformações, é comum que haja muita preocupação em proteger os computadores — mas que se mantenham outros aparelhos pouco seguros. Além disso, os novos formatos de trabalho, como home office e traga seu próprio dispositivo (Bring Your Own Device – BYOD), inserem equipamentos domésticos em contextos corporativos.

Isso significa que há mais portas para invasão, cada vez mais informação em circulação e, consequentemente, aumento nos riscos cibernéticos. Os números são grandiosos: uma pesquisa da Accenture mostra que o custo médio de cada crime digital por empresa foi, em 2018, de US$ 13 milhões.

Além disso, a Symantec aponta que 24 mil aplicativos móveis maliciosos são bloqueados todo dia. Para completar, segundo a Varonis, danos relacionados a cibercrimes devem atingir US$ 6 trilhões por ano em 2021.

Mas e o phishing?

Esse é um cenário bastante propício para o phishing — não à toa, ele está entre as principais ameaças à segurança cibernética. É por meio dele que cibercriminosos obtêm informações pessoais de usuários, como número de cartão de crédito, senhas, CPF e afins.

Reprodução

Seus ataques são praticamente onipresentes, ou seja, não se limitam a apenas alguns canais. Segundo a Cyxtera, que faz a detecção e a prevenção de fraudes eletrônicas, cerca de 90% dos ataques começam com ações que utilizam essa técnica.

O phishing é, em geral, criado por fraudadores que identificam vulnerabilidades em um sistema ou conseguem acesso a ele com credenciais roubadas. Um mecanismo bastante comum é o uso de domínios similares (réplicas quase idênticas de um site com uma URL semelhante) e e-mails direcionados aos clientes da organização cuja página foi clonada.

A ação mais conhecida são as campanhas por e-mail. Os destinatários das mensagens falsas — sejam eles grandes redes de usuários ou indivíduos específicos — são abordados com comunicados que parecem reais e, depois, direcionados a sites ilegítimos. E muitos não têm ferramentas para reconhecer essas ameaças.

Reprodução

Site real do Santander: URL usa HTTPS (um padrão seguro) e certificado SSL — representado por um cadeado verde na barra do navegador


Reprodução

Site falso do Santander: não há HTTPS nem cadeado na barra do navegador — o que indica que o site não é confiável

Uma forma especializada de phishing é o comprometimento de e-mails corporativos (Business Email Compromise – BEC). Nesse caso, são usadas mensagens altamente detalhadas para se passar por executivos de alto nível ou funcionários do setor financeiro de organizações e, assim, ter acesso a informações confidenciais ou solicitar transferências de dinheiro.

Desde 2013, os prejuízos com BEC somaram mais de US$ 12 bilhões. E, como quem está por trás dos e-mails corporativos são indivíduos comuns, as chances de sucesso desse tipo de fraude são igualmente altas quando as empresas não têm políticas para coibir o avanço dessas atividades.

Só que não para por aí: o phishing pode chegar de outras formas. Além de atingir e-mails, os ataques são enviados a qualquer ponto de contato com o usuário — podem ser apps maliciosos, perfis falsos em redes sociais, SMS e outros.

A rápida popularização dos smartphones transformou as lojas de aplicativos (principalmente as não oficiais, mas, em alguns casos, até as oficiais) em um vetor importante de ataques direcionados de phishing. Aplicativos falsos que imitam os oficiais são usados para atrair usuários e fazê-los fornecer informações confidenciais e dados de acesso.

Outra fonte importante de ataques de phishing são os perfis falsos em redes sociais. Criminosos que usam essa técnica criam contas falsas com aparência real para levar as vítimas a fornecerem informações pessoais.

De onde vem o phishing?

A maioria desses e-mails vem em nome de organizações legítimas, como órgãos do governo ou bancos. Em geral, são mensagens que informam a necessidade de atualização, validação ou confirmação de informações.

É comum que elas apontem a ocorrência de problemas e ofereçam um link de acesso direto à solução. Quando o clica, o usuário é direcionado ao site falso e incentivado a fornecer informações pessoais — o que pode levar ao roubo de identidade.

Vale a pena, então, ficar atento ao receber mensagens que pedem a confirmação de dados por e-mail ou que contêm links diretos para sites. Por isso, sempre que tiver dúvidas sobre a legitimidade de um comunicado, entre em contato com a instituição remetente.

Diferentemente de outras pragas virtuais, o phishing não pode ser removido — afinal, nada é instalado previamente no computador. Por outro lado, é possível se prevenir e evitar ser enganado por ele. Para isso:

  • não clique em links que chegarem em e-mails não solicitados (ou estiverem no Facebook);
  • não abra anexos de e-mail se não tiver certeza da sua procedência;
  • proteja suas senhas e não as revele a ninguém;
  • não forneça informações confidenciais por telefone ou e-mail;
  • verifique o endereço dos sites que visitar: muitas vezes, o e-mail parece legítimo, mas a URL pode ter erro de grafia ou domínio diferente;
  • mantenha seu navegador atualizado.

Há outras formas de phishing?

Sim. Uma das mais populares delas é o sequestro de DNS. Só neste ano, a Avast bloqueou mais de 4,6 milhões de tentativas de falsificação de solicitações entre sites (Cross-Site Request Forgery – CSRF) no Brasil. Esses ataques permitem modificar as configurações de DNS de um site e, em seguida, fazer campanhas de phishing e mineração de criptomoedas.

É comum que esse tipo de ação tenha início quando o usuário visita um site comprometido com publicidade maliciosa (conhecida como malvertising). No Brasil, o malvertising costuma ser encontrado em sites de conteúdo adulto, filmes ilegais e esportes.

Assim que visita o site comprometido, a vítima é direcionada a uma página em que foi instalado um kit de exploração do roteador. Automaticamente, então, um ataque ao dispositivo é iniciado em segundo plano — e é comum que seja bem-sucedido, já que a maioria dos roteadores tem senhas fracas.

Primeiramente, busca-se encontrar o IP do equipamento na rede. Depois, são tentadas várias senhas triviais. Algumas das credenciais que os kits de exploração tentam utilizar são:

  • admin:admin;
  • admin:;
  • admin:12345;
  • Admin:123456;
  • admin:gvt12345;
  • admin:password;
  • admin:vivo12345;
  • root:root;
  • super:super.

Uma vez sequestrado, o roteador é configurado para usar servidores DNS desonestos e, assim, direcionar o usuário para páginas falsas que se parecem com as autênticas. Um dos sites que, recentemente, se tornou popular entre os sequestradores de DNS foi a Netflix. Segundo a Avast, os sete sites sequestrados com mais frequência no Brasil são:

  • Santander (24%);
  • Bradesco (19%);
  • Banco do Brasil (13%);
  • Itau BBA (13%);
  • Netflix (11%);
  • Caixa (10%);
  • Serasa Experian (10%).

Essas instituições são visadas porque são muito populares. Paralelamente, como os sites de phishing estão fora de seus domínios, pouco podem fazer para proteger os clientes — além de alertá-los.

Qual a importância da cibersegurança?

É aí que entra a cibersegurança. Ela garante a proteção de sistemas, redes e programas contra invasões que buscam obter acesso, mudar ou destruir informações, extorquir pessoas ou empresas e interromper processos e sistemas operacionais. Por isso, é essencial compreender e respeitar normas básicas de segurança digital.

Entram aí os backups, a atualização de senhas, os cuidados na navegação e assim por diante. Uma das medidas mais básicas (e que pode ser adotada em qualquer ambiente) é, ao visitar o site do banco ou da Netflix, por exemplo, verificar se a página tem certificado válido — que aparece em forma de cadeado na barra do navegador. Além disso, vale a pena atualizar o roteador frequentemente e configurar as credenciais com uma senha forte.

Em empresas, esse mindset deve envolver todas as áreas, não apenas a de segurança. Por isso, elas devem ter processos e condutas bem definidos: da navegação na web ao acesso a informações sensíveis e bancos de dados.

Paralelamente, é preciso estabelecer regras a serem seguidas em casos de ameaça à segurança digital. Assim, se houver qualquer tentativa de ataque, sabe-se quais atitudes tomar e por quê. Ou seja, a cibersegurança vai muito além de firewalls e anti-vírus: ela envolve a governança da companhia. Pessoas, processos e tecnologia devem ser complementares.

Os cibercriminosos sabem que as organizações usam estratégias para prevenir phishing e outros ataques e, por isso, adaptam constantemente as táticas que usam para contornar esses mecanismos. No ambiente corporativo, é essencial ter visibilidade total dos ataques para evitar que eles avancem a ponto de causar danos irreversíveis antes de serem detectados. Se detectados em estágio inicial, há mais chances de evitar consequências negativas.

Colaboração para o Olhar Digital

Roseli Andrion é colaboração para o olhar digital no Olhar Digital