O phishing é o maior vilão por trás de um e-mail para roubo de dados pessoais

Apesar de existir há quase três décadas, o phishing continua sendo uma ameaça persistente. O phishing envolve criminosos cibernéticos se passando por entidades confiáveis para enviar mensagens fraudulentas que contêm downloads ou links maliciosos. Ataques de phishing bem-sucedidos podem levar ao comprometimento de credenciais, infecções por malware, perda de dados e roubo financeiro. É uma forma predominante de engenharia social e o tipo de ataque mais caro em 2022, com média de US$ 4,91 milhões por vítima.

Mas, isso não é tudo: os ataques estão se tornando mais sofisticados e se espalhando além dos e-mails, alcançando dispositivos móveis e outras formas de comunicação. Na verdade, 80% dos sites de phishing têm como alvo específico dispositivos móveis ou são projetados para funcionar em desktops e dispositivos móveis, e uma pessoa tem em média de seis a dez vezes mais probabilidade de cair em um ataque de phishing por SMS que em um ataque baseado em e-mail.

A melhor defesa é conhecer os sinais reveladores de uma mensagem de phishing. “Atualmente é preciso ter ainda mais atenção, pois, com o surgimento da Inteligência Artificial, não é mais suficiente procurar palavras com erros ortográficos e gramaticais”, alerta Vinicius Bortoloni, engenheiro de Segurança e gerente de contas da Check Point Software Brasil.

O especialista da Check Point lista os principais indicadores de e-mails maliciosos:

Ameaças ou intimidação: as mensagens de phishing podem usar táticas de intimidação, como ameaças de suspensão de conta ou ameaças de ação legal, para coagir o usuário a agir. Fique atento a mensagens urgentes, alarmantes ou ameaçadoras.

Estilo da mensagem: se uma mensagem parecer inadequada para o remetente, é provável que seja uma tentativa de phishing. Fique atento a qualquer linguagem ou tom incomum. As mensagens de phishing geralmente usam saudações ambíguas ou genéricas, como “Prezado usuário” e “Prezada cliente”, em vez de saudações personalizadas.

Solicitações incomuns: e-mails de phishing podem solicitar que o usuário execute ações incomuns. Por exemplo, se um e-mail instruir a pessoa a instalar um software, deve-se verificar com o departamento de TI da organização se isso é um pedido verdadeiro, principalmente se não for uma prática padrão.

Inconsistências em links e endereços: verifique se há discrepâncias com endereços de e-mail, links e nomes de domínio. Passe o mouse sobre hiperlinks ou URLs encurtadas para ver seus destinos reais e ver se há incompatibilidade.

Solicitações de informações pessoais: o usuário deve ser cauteloso quando um e-mail solicitar informações confidenciais, como senhas, números de cartão de crédito ou do banco ou números de previdência social. Organizações legítimas geralmente não solicitam esses detalhes por e-mail.

“Em resumo, os usuários precisam prestar atenção em relação à linguagem urgente ou emocionalmente atraente nos e-mails, ao senso de urgência para clicar imediatamente em links indicados nas mensagens, às solicitações de envio de informações pessoais, corporativas ou financeiras, aos anexos inesperados, URLs abreviadas não confiáveis e endereços de e-mail que não correspondem ao suposto remetente. Na dúvida ignore o e-mail ou mensagem de texto e procure acessar a informação de uma fonte confiável como o site da empresa (sem clicar no link) ou faça uma chamada por telefone (não para o número recebido na mensagem suspeita), mas, sim, para o número divulgado pelas empresas em seus canais oficiais”, orienta Bortoloni.

Além de tudo isso, o especialista indica ao usuário que denuncie o phishing. Se receber um e-mail ou mensagem de texto de phishing, encaminhar os e-mails de phishing para a área de TI ou segurança na empresa onde trabalha ou identifique o recurso no e-mail de denúncia de spam, sem clicar em links ou abrir arquivos anexados a esses e-mails suspeitos.

Reforce a proteção fortalecendo sua senha

Outra importante dica do especialista da Check Point Software envolve as senhas:

1. Use senhas fortes e um gerenciador de senhas

Você sabia que senhas comprometidas são responsáveis por 81% das violações relacionadas a hackers? É um lembrete de que usar senhas fortes é uma das maneiras mais fáceis de proteger suas contas e manter suas informações seguras.

● Crie uma senha forte: se você ainda estiver usando uma senha fraca como “senha”, considere-a violada. Os atacantes podem quebrar essa senha fácil de adivinhar em menos de um segundo. Em vez disso, crie senhas com pelo menos 16 caracteres e exclusivamente complexas. Evite usar sequências como ABCD, 1234, qwerty (sequência no teclado) e informações facilmente identificáveis, como nomes e datas de aniversários, como parte de suas senhas. Sua senha deve ser um enigma que gere dificuldades para ser quebrada.

● Evite a reutilização de senhas: pense nas suas senhas como impressões digitais; cada uma deve ser única. A reutilização de senhas torna você vulnerável a ataques cibernéticos, como ataques de força bruta e preenchimento de credenciais. A criação de uma senha exclusiva para cada conta limita as consequências em caso de violação.

● Use um gerenciador de senhas: os gerenciadores de senhas libertam você do incômodo dos post-its ou do jogo de adivinhação de senhas. A única coisa que você precisa é de uma senha para entrar no seu gerenciador de senhas. Eles podem criar, armazenar e preencher senhas automaticamente e ajudar a gerar combinações complexas.

2. Habilite a autenticação de múltiplos fatores (MFA)

De acordo com a Microsoft, habilitar a MFA pode diminuir 99% a probabilidade de você ser hackeado. Por quê? Porque a MFA exige uma combinação de dois ou mais autenticadores para verificar sua identidade antes de se ter acesso à sua conta. Mesmo que um atacante decifre sua senha será preciso atender ao segundo requisito de autenticação para obter acesso à sua conta.

A autenticação de múltiplos fatores (MFA) pede:

● Algo que você conhece: um número PIN ou uma senha

● Algo que você tenha: uma aplicação de autenticação ou uma mensagem de confirmação no seu smartphone

● Algo que você é: uma leitura de impressão digital ou reconhecimento facial

“Observe que nem todos os métodos de MFA oferecem o mesmo nível de proteção. A MFA resistente a phishing é o padrão pelo qual os líderes do setor devem se esforçar, mas qualquer MFA é melhor que nenhuma”, ressalta Bortoloni.

Serviço
www.checkpoint.com