Apesar de existir há quase três décadas, o phishing continua sendo uma ameaça persistente. O phishing envolve criminosos cibernéticos se passando por entidades confiáveis para enviar mensagens fraudulentas que contêm downloads ou links maliciosos. Ataques de phishing bem-sucedidos podem levar ao comprometimento de credenciais, infecções por malware, perda de dados e roubo financeiro. É uma forma predominante de engenharia social e o tipo de ataque mais caro em 2022, com média de US$ 4,91 milhões por vítima.
Mas, isso não é tudo: os ataques estão se tornando mais sofisticados e se espalhando além dos e-mails, alcançando dispositivos móveis e outras formas de comunicação. Na verdade, 80% dos sites de phishing têm como alvo específico dispositivos móveis ou são projetados para funcionar em desktops e dispositivos móveis, e uma pessoa tem em média de seis a dez vezes mais probabilidade de cair em um ataque de phishing por SMS que em um ataque baseado em e-mail.
A melhor defesa é conhecer os sinais reveladores de uma mensagem de phishing. “Atualmente é preciso ter ainda mais atenção, pois, com o surgimento da Inteligência Artificial, não é mais suficiente procurar palavras com erros ortográficos e gramaticais”, alerta Vinicius Bortoloni, engenheiro de Segurança e gerente de contas da Check Point Software Brasil.
O especialista da Check Point lista os principais indicadores de e-mails maliciosos:
Ameaças ou intimidação: as mensagens de phishing podem usar táticas de intimidação, como ameaças de suspensão de conta ou ameaças de ação legal, para coagir o usuário a agir. Fique atento a mensagens urgentes, alarmantes ou ameaçadoras.
Estilo da mensagem: se uma mensagem parecer inadequada para o remetente, é provável que seja uma tentativa de phishing. Fique atento a qualquer linguagem ou tom incomum. As mensagens de phishing geralmente usam saudações ambíguas ou genéricas, como “Prezado usuário” e “Prezada cliente”, em vez de saudações personalizadas.
Solicitações incomuns: e-mails de phishing podem solicitar que o usuário execute ações incomuns. Por exemplo, se um e-mail instruir a pessoa a instalar um software, deve-se verificar com o departamento de TI da organização se isso é um pedido verdadeiro, principalmente se não for uma prática padrão.
Inconsistências em links e endereços: verifique se há discrepâncias com endereços de e-mail, links e nomes de domínio. Passe o mouse sobre hiperlinks ou URLs encurtadas para ver seus destinos reais e ver se há incompatibilidade.
Solicitações de informações pessoais: o usuário deve ser cauteloso quando um e-mail solicitar informações confidenciais, como senhas, números de cartão de crédito ou do banco ou números de previdência social. Organizações legítimas geralmente não solicitam esses detalhes por e-mail.
“Em resumo, os usuários precisam prestar atenção em relação à linguagem urgente ou emocionalmente atraente nos e-mails, ao senso de urgência para clicar imediatamente em links indicados nas mensagens, às solicitações de envio de informações pessoais, corporativas ou financeiras, aos anexos inesperados, URLs abreviadas não confiáveis e endereços de e-mail que não correspondem ao suposto remetente. Na dúvida ignore o e-mail ou mensagem de texto e procure acessar a informação de uma fonte confiável como o site da empresa (sem clicar no link) ou faça uma chamada por telefone (não para o número recebido na mensagem suspeita), mas, sim, para o número divulgado pelas empresas em seus canais oficiais”, orienta Bortoloni.
Além de tudo isso, o especialista indica ao usuário que denuncie o phishing. Se receber um e-mail ou mensagem de texto de phishing, encaminhar os e-mails de phishing para a área de TI ou segurança na empresa onde trabalha ou identifique o recurso no e-mail de denúncia de spam, sem clicar em links ou abrir arquivos anexados a esses e-mails suspeitos.
Reforce a proteção fortalecendo sua senha
Outra importante dica do especialista da Check Point Software envolve as senhas:
1. Use senhas fortes e um gerenciador de senhas
Você sabia que senhas comprometidas são responsáveis por 81% das violações relacionadas a hackers? É um lembrete de que usar senhas fortes é uma das maneiras mais fáceis de proteger suas contas e manter suas informações seguras.
● Crie uma senha forte: se você ainda estiver usando uma senha fraca como “senha”, considere-a violada. Os atacantes podem quebrar essa senha fácil de adivinhar em menos de um segundo. Em vez disso, crie senhas com pelo menos 16 caracteres e exclusivamente complexas. Evite usar sequências como ABCD, 1234, qwerty (sequência no teclado) e informações facilmente identificáveis, como nomes e datas de aniversários, como parte de suas senhas. Sua senha deve ser um enigma que gere dificuldades para ser quebrada.
● Evite a reutilização de senhas: pense nas suas senhas como impressões digitais; cada uma deve ser única. A reutilização de senhas torna você vulnerável a ataques cibernéticos, como ataques de força bruta e preenchimento de credenciais. A criação de uma senha exclusiva para cada conta limita as consequências em caso de violação.
● Use um gerenciador de senhas: os gerenciadores de senhas libertam você do incômodo dos post-its ou do jogo de adivinhação de senhas. A única coisa que você precisa é de uma senha para entrar no seu gerenciador de senhas. Eles podem criar, armazenar e preencher senhas automaticamente e ajudar a gerar combinações complexas.
2. Habilite a autenticação de múltiplos fatores (MFA)
De acordo com a Microsoft, habilitar a MFA pode diminuir 99% a probabilidade de você ser hackeado. Por quê? Porque a MFA exige uma combinação de dois ou mais autenticadores para verificar sua identidade antes de se ter acesso à sua conta. Mesmo que um atacante decifre sua senha será preciso atender ao segundo requisito de autenticação para obter acesso à sua conta.
A autenticação de múltiplos fatores (MFA) pede:
● Algo que você conhece: um número PIN ou uma senha
● Algo que você tenha: uma aplicação de autenticação ou uma mensagem de confirmação no seu smartphone
● Algo que você é: uma leitura de impressão digital ou reconhecimento facial
“Observe que nem todos os métodos de MFA oferecem o mesmo nível de proteção. A MFA resistente a phishing é o padrão pelo qual os líderes do setor devem se esforçar, mas qualquer MFA é melhor que nenhuma”, ressalta Bortoloni.
Serviço
www.checkpoint.com
Leia nesta edição:
CAPA | TECNOLOGIA
Centros de Dados privados ainda geram bons negócios
TENDÊNCIA
Processadores ganham centralidade com IA
TIC APLICADA
Digitalização do canteiro de obras
Esta você só vai ler na versão digital
TECNOLOGIA
A tecnologia RFID está madura, mas há espaço para crescimento
Baixe o nosso aplicativo