O que são
O phishing é um tipo de ataque em que se usam técnicas de engenharia social para capturar informação sensível de uma vítima por meio de email. Um agente de ameaça que utiliza esse tipo de ataque engana os usuários com emails falsos a fim de capturar informação sensível através do clique em anexo e/ou URL maliciosa, ou compartilhamento de dados em páginas fraudulentas. Para esclarecer, o atacante simula uma marca conhecida ou se passa por alguém de confiança.
Quando esta técnica é utilizada por SMS, é chamada de smishing e, por telefone (voz), de vishing. Esta técnica também pode ser usada por mensagens instantâneas em aplicações de redes sociais.
O que fazer
Não clicar em anexo ou links de emails, de mensagens instantâneas ou de SMS suspeitos. Quando contactado, confirmar a veracidade do endereço de email, do perfil ou do número de telefone de origem.
Avaliar sempre a veracidade dos conteúdos de emails, de mensagens instantâneas, de SMS ou de telefonemas e não compartilhar dados pessoais ou seguir instruções sem verificar em outras fontes a veracidade do pedido – por exemplo, junto ao gerente de conta do Banco.
Desconfiar de mensagens com erros de linguagem, mas também não confiar em todas as mensagens apenas porque não apresentam erros de linguagem. Nas organizações, realizar simulações de ataques de phishing e smishing, e eventualmente de vishing, para aumentar a sensibilização e os níveis de atenção a estes vetores de ataques.
Não compartilhar dados sensíveis nas redes sociais porque essa prática pode fornecer informação a possíveis atacantes que queiram realizar spear phishing (phishing dirigido a uma pessoa específica).
Denunciar junto dos responsáveis de segurança da informação da organização ou junto das autoridades sempre que se é alvo ou vítima de um ataque deste tipo. Estar sempre atento e não se deixar persuadir sem reflexão por solicitações autoritárias, promessas ou pedidos urgentes.
Dados
O phishing e o smishing são os tipos de incidentes mais registados pelo CERT.PT: em 2019 corresponderam a 31% dos incidentes registados e em 2020 a 43%, tendo subido, neste ano em 160% (CNCS, Riscos e Conflitos 2021);
É possível observar que 2021 manteve uma trajetória ascendente e que os períodos com maior volume de incidentes, em particular de phishing e smishing, foram os de maior confinamento social fruto da pandemia da Covid-19 (CNCS, Boletim n.º 4/2021);
Segundo uma análise de conteúdo feita de phishing e smishing registados pelo CERT.PT durante o segundo trimestre de 2020, observou-se que o tipo de persuasão mais utilizado pelos atacantes, em 90% dos casos, é o argumento da autoridade/credibilidade do emissor (um Banco, por exemplo), 79% das mensagens incentivam o login numa conta, 12% pedem dados relacionados a um produto/serviço, 7% prometem um ganho financeiro e 3% referem-se ao preenchimento de um documento (CNCS, Boletim n.º 3/2020).
Baixe Gratuitamente
Novidade! Temos dois e-books incríveis e gratuitos, para você baixar, se informar e ficar livre de uma ameaça cibernética:
Ransomware: o guia completo7 situações que permitem a invasão da sua empresa por ransomwares
