7 dicas para identificar e proteger-se do phishing

Atualmente, o phishing é um dos ciberataques mais comuns nas empresas. Trata-se de uma técnica usada por cibercriminosos para enganar os utilizadores e obter informações sensíveis, fingindo ser uma entidade de confiança. Esses ataques geralmente chegam através de e-mails, mensagens de texto ou até chamadas telefónicas.

Proteger-se contra o phishing é essencial para garantir a segurança e proteção dos dados, tanto pessoais como financeiros. Por isso, oferecemos 7 dicas para ajudar a identificar este tipo de ameaças e proteger-se de forma eficaz.

O que é o phishing?

Defenição e conceito

Como mencionámos anteriormente, o phishing é um tipo de ataque cibernético em que os criminosos se fazem passar por entidades legítimas, como bancos, empresas ou plataformas de redes sociais, para enganar os utilizadores e fazê-los partilhar informações pessoais ou confidenciais, como senhas, números de cartões de crédito ou dados de acesso a contas.

Como funciona o phishing?

O processo de phishing geralmente começa com uma mensagem, seja um e-mail, uma SMS ou uma chamada telefónica, na qual o atacante finge ser uma fonte confiável. A mensagem pode incluir um link que leva a uma página web falsa, desenhada para parecer real, onde a vítima insere os seus dados pessoais, ou um anexo que contém software malicioso.

História do phishing:

O phishing surgiu desde o início da Internet. Alguns dos primeiros casos documentados de phishing ocorreram na década de 1990, quando os cibercriminosos começaram a enviar e-mails falsos aos utilizadores da Internet.

À medida que a Internet se tornou mais popular e acessível, as técnicas de phishing tornaram-se mais sofisticadas. Os atacantes, agora, utilizam uma variedade de métodos para enganar as suas vítimas, como o envio de mensagens de texto falsas (smishing), o uso das redes sociais e a criação de sites falsos que parecem idênticos aos legítimos.

Tipos de ataques do phising

Descrevemos, a seguir, os 5 tipos de ataques mais comuns para que te seja mais fácil identificá-los. Como verás, embora os meios sejam diversos, o objetivo de todos eles é obter dados sensíveis dos utilizadores.

• E-mail de phishing (Email phishing): A via mais comum deste tipo de ciberataque é o e-mail. Geralmente, os golpistas enviam e-mails fraudulentos fazendo-se passar por uma entidade legítima com o objetivo de enganar o destinatário para que revele informações confidenciais.
  
  
• Smishing (Phishing por SMS): Esta variante do phishing é semelhante à anterior, embora seja realizada através de mensagens de texto em vez de e-mails.
  
  
• Vishing (Phishing por telefone): O vishing é feito através de chamadas telefónicas. Durante a chamada, o atacante tenta persuadir a vítima a fornecer informações confidenciais.
  
  
• Phishing direcionado (Spear Phishing): O spear phishing é mais específico e personalizado. Os cibercriminosos investigam a sua vítima (por exemplo, um empregado de uma empresa) e enviam e-mails personalizados com detalhes credíveis, o que torna mais difícil detectar o ataque. O objetivo é obter informações sensíveis ou acesso a sistemas privados.
  
  
• Pharming: O pharming é uma técnica mais avançada, em que os criminosos manipulam o sistema de resolução de nomes de domínio (DNS) para redirecionar os utilizadores para um site falso, sem que eles saibam. É uma forma furtiva de phishing que não exige que a vítima clique num link suspeito, pois é redirecionada automaticamente.

Como identificar um ataque de phishing?

Identificar um ataque de phishing pode ser complicado, uma vez que os golpistas utilizam táticas cada vez mais sofisticadas para fazer com que as suas mensagens pareçam legítimas. Como acabámos de ver nos diferentes tipos de phishing, já se desenvolveram táticas em que não é necessário que as vítimas forneçam qualquer tipo de informação (por exemplo, o pharming). No entanto, existem sinais comuns que podem ajudar a detetar uma tentativa de phishing antes que seja demasiado tarde. Aqui estão alguns detalhes-chave:

Erros gramaticais e ortográficos: Os e-mails fraudulentos frequentemente contêm erros ortográficos ou de expressão que as empresas legítimas não cometeriam.

Pedidos urgentes: Os cibercriminosos tentam fazer com que as suas mensagens pareçam urgentes, para que tomes decisões apressadas, como: "A tua conta será bloqueada em 24 horas!". Nestes casos, é importante ter em conta que estes avisos de encerramento de contas normalmente chegam com bastante antecedência. Por isso, devemos ser cautelosos e eliminar imediatamente essas mensagens suspeitas.

Endereço de e-mail estranho: Verifica o remetente do e-mail. Frequentemente, os atacantes utilizam endereços de e-mail que parecem legítimos, mas têm pequenos erros ortográficos ou provêm de domínios estranhos. Por exemplo, em vez de "suporte@tuaempresa.com", podem usar "suporte@tuaempresaa.com".

Links e anexos suspeitos: Não cliques em links nem descarregues anexos de e-mails não solicitados. Os links podem levar-te a sites falsos que roubam as tuas informações, e os anexos podem conter malware.

Exemplos de ataques de fishing comuns:

Aqui trazemos dois dos exemplos mais comuns com os quais te poderias deparar no teu dia a dia:

Exemplo 1:

Assunto: "Ação necessária! Verifica a tua conta agora"

Corpo da mensagem: "Caro utilizador, detetámos uma atividade suspeita na tua conta. Para proteger a tua informação, por favor, verifica a tua conta clicando no seguinte link: [link falso]. Se não fizeres isto dentro das próximas 24 horas, a tua conta poderá ser suspensa."

Exemplo 2:

Assunto: "Fatura pendente: Pagamento requerido imediatamente"

Corpo da mensagem: "Olá [o teu nome], em anexo encontrarás uma fatura pendente que requer a tua atenção. Por favor, revisa o arquivo anexo para mais detalhes. Se tiveres alguma dúvida, não hesites em contactar-nos."

Medidas de prevenção para não ser vitima de phishing:

1.Comprova a URL do site web

Um truque comum nos ataques de phishing é criar sites falsos que imitam os reais. Estes sites têm um design semelhante, mas o objetivo é roubar a informação que introduzas. Ao visitar um site através de um link, é crucial que verifiques a URL.

• Procura o "https" na barra de endereços: Os sites seguros utilizam "https" em vez de "http". O "s" significa que a conexão está encriptada e é mais difícil para os cibercriminosos interceptarem os teus dados. Além disso, a maioria dos navegadores mostra um ícone de cadeado ao lado da URL dos sites seguros.
  
  
• Revisa a URL cuidadosamente: Os sites de phishing, muitas vezes, utilizam URLs que se parecem muito com as reais, mas com pequenas diferenças, como "faceb00k.com" em vez de "facebook.com". Antes de introduzires qualquer informação, certifica-te de que estás no site correto.

2. Desconfia dos pedidos de informação urgente

O phishing costuma jogar com a urgência para fazer com que as vítimas ajam rapidamente sem pensar. Podes receber um e-mail ou mensagem que diga algo como "A tua conta foi comprometida" ou "É necessária uma ação imediata para evitar o bloqueio da tua conta".

3. Não confies em janelas pop-up

Outro método utilizado nos ataques de phishing são as janelas pop-up que aparecem enquanto navegas na internet. Estas janelas podem tentar enganar-te, fazendo-te acreditar que o teu computador tem um vírus ou que ganhaste um prémio.

Para te protegeres destes tentativas:

• Fecha as janelas pop-up imediatamente: Se uma janela pop-up solicitar informações pessoais ou pedir-te para descarregar algo, fecha-a. Não interajas com os botões que oferece, pois até clicar em "Cancelar" pode desencadear o download de software malicioso.
  
  
• Usa um bloqueador de janelas pop-up: Muitos navegadores modernos têm esta opção integrada. Ativar um bloqueador de janelas pop-up pode ajudar-te a evitar este tipo de enganos.

4. Utiliza autenticação de dois fatores (2FA)

A autenticação de dois fatores (2FA) adiciona uma camada adicional de segurança às tuas contas. Mesmo que um cibercriminoso consiga a tua senha através de um ataque de phishing, a 2FA pode impedi-lo, pois será necessário um segundo código, geralmente enviado para o teu telefone móvel ou gerado por uma aplicação de autenticação.

5. Mantém o teu software atualizado

• Muitos ataques de phishing aproveitam vulnerabilidades no software que utilizas, como o teu sistema operativo, navegador web ou aplicações. Manter o teu software atualizado é uma das melhores defesas contra o phishing e outros ataques cibernéticos.
  
  
• Instala atualizações regularmente: Certifica-te de que tanto o teu sistema operativo como as tuas aplicações estão sempre atualizados com as últimas versões.
  
  
• Usa um antivírus confiável: Ter um bom sistema de cibersegurança pode ajudar-te a detetar e bloquear sites de phishing, assim como outros tipos de malware. Configura-o para que se atualize automaticamente e realize análises regulares ao teu sistema.

6. Estabelece uma politica de segurança e privacidade

Estabelecer uma política de segurança para o phishing numa empresa é essencial para fortalecer a defesa contra ataques cibernéticos e proteger a informação sensível. Esta política deve definir claramente os procedimentos para identificar, reportar e gerir tentativas de phishing, especificando os papéis e responsabilidades dos colaboradores e da equipa de TI. Além disso, deve incluir diretrizes para a formação contínua em cibersegurança, a realização de simulacros de phishing e a implementação de tecnologias de segurança avançadas.

7. Educa os teus trabalhadores

Por último, educar os colaboradores sobre o phishing é crucial para proteger a segurança da informação e a integridade da empresa. Os colaboradores são frequentemente a primeira linha de defesa contra ataques cibernéticos, e uma formação adequada dá-lhes as ferramentas e os conhecimentos necessários para identificar e evitar tentativas de phishing.

Se estiveres interessado em mais artigos sobre as melhores práticas para a cibersegurança, fica atento ao nosso próximo artigo. Até breve!