Phishing – os perigos e como se proteger

Visão Geral - O phishing é uma tática de hackers, onde os malfeitores se apresentam principalmente como entidades jurídicas confiáveis para coletar dados sensíveis dos usuários. - Aprenda a reconhecer os principais sinais de ataques de phishing, incluindo URLs falsas e solicitações urgentes por informações pessoais. - Familiarize-se com as diferentes técnicas de phishing, desde esquemas tradicionais de e-mail até ataques especializados direcionados a investidores em criptomoedas.

O que são ataques de phishing

O phishing é uma tecnologia maliciosa, na qual os cibercriminosos imitam organizações ou pessoas de confiança para manipular os usuários a revelar informações confidenciais. Este é um dos métodos mais comuns e eficazes de ciberataques, pois depende da confiança humana, em vez de vulnerabilidades técnicas no sistema. Neste material, vamos entender os mecanismos dos ataques de phishing, as formas de proteção e os riscos específicos para os usuários de plataformas de criptomoedas.

Como agem os cibercriminosos

O phishing é essencialmente uma forma de engenharia social - um método em que os atacantes manipulam a psicologia das pessoas para obter acesso a dados confidenciais. Primeiro, eles coletam informações de fontes públicas, como redes sociais, e depois constroem mensagens que parecem autênticas e de remetentes confiáveis.

As vítimas recebem mensagens mal intencionadas que se passam por contatos conhecidos ou organizações de autoridade. De acordo com o desenvolvimento da tecnologia, os cibercriminosos já utilizam geradores de voz de IA e chatbots para tornar seus ataques ainda mais convincentes. Isso representa um novo desafio para os usuários distinguir a comunicação verdadeira da fraudulenta.

Como se desenvolvem os ataques de phishing

Existem várias formas de ataques, classificadas de acordo com a técnica e o objetivo:

Clonagem e manipulação direta

O atacante usa um email legítimo, copia seu conteúdo e modifica-o com um link para um site malicioso. Frequentemente afirmam que uma nova versão do link foi emitida ou que a anterior é inválida.

Ataques de phishing profissionalizados

Este tipo de ataque é direcionado a uma pessoa ou organização específica. O atacante primeiro coleta informações sobre a vítima (nomes de conhecidos, membros da família, funções profissionais) e as utiliza para convencer a vítima a abrir um arquivo malicioso ou a visitar um site falso.

envenenamento de DNS (Pharming)

O cibercriminoso manipula o registo DNS, redirecionando os utilizadores do site legítimo para um falso. Isto é particularmente perigoso, pois a gestão do DNS está fora do controlo do utilizador comum.

Spoofing de e-mails

As mensagens de phishing falsificam comunicações de uma empresa ou pessoa conhecida. Elas incluem links para sites maliciosos ou formulários de login disfarçados, onde são coletadas informações de autenticação e dados pessoais.

Phishing direcionado a altos funcionários

Conhecida como “kitinglevering”, este tipo de ataque é direcionado a diretores executivos, funcionários públicos e outras personalidades influentes com acesso a recursos sensíveis.

Anúncios pagos editados

Os golpistas utilizam typosquatting ( registando domínios com erros de ortografia ) e pagam por anúncios que aparecem nos resultados de pesquisa. O utilizador pensa que está a clicar no site legítimo, mas é redirecionado para uma falsificação.

Captura de websites

Na ataque de “watering hole”, os criminosos identificam websites que os utilizadores visitam frequentemente, escaneiam-nos em busca de vulnerabilidades e injetam scripts maliciosos.

Spoofing nas redes sociais e no espaço das criptomoedas

Os golpistas fazem-se passar por personalidades influentes, hackeiam perfis verificados e alteram os nomes de utilizador para manter o status verificado. É especialmente comum em plataformas como Discord, X e Telegram.

SMS e phishing de voz

Ataques através de mensagens de texto ou chamadas de voz que incentivam os usuários a revelar informações pessoais.

Aplicações maliciosas

Aplicações que se parecem com carteiras, rastreadores de preços ou ferramentas de criptomoeda, mas que na verdade coletam os dados pessoais e o dinheiro do usuário.

Sinais de ataques de phishing

O reconhecimento de mensagens de phishing é uma habilidade crítica. Preste atenção aos seguintes sinais de alerta:

• URLs suspeitos ou deformados
• E-mails de endereços públicos em vez de domínios corporativos oficiais
• Tons de emergência ou ameaçadores que provocam pânico
• Pedidos de informações pessoais, senhas ou dados financeiros
• Erros ortográficos e gramaticais
• Anexos maliciosos

Dica útil: passe o cursor sobre o link para ver o URL real, sem clicar.

Tipos de ataques de phishing em setores específicos

Sistemas financeiros e de pagamento

Os cibercriminosos fingem ser serviços de pagamento ou bancos conhecidos, exigindo a confirmação de dados de entrada ou ocultando transferências. Novos funcionários são frequentemente alvos de fraudes relacionadas a transferências e depósitos diretos.

Cripto e espaço de blockchain

Neste setor, o risco é especialmente alto. Os golpistas tentam obter acesso a chaves privadas, frases seed ou dados de login de carteiras de cripto. Eles podem manipular os usuários através de várias técnicas para transferir fundos para endereços falsos. Embora a tecnologia blockchain forneça forte segurança de dados devido à sua natureza descentralizada, a vulnerabilidade humana continua a ser o principal alvo dos atacantes.

Proteção contra ataques de phishing

Para minimizar o risco de ataques de phishing bem-sucedidos, siga estes princípios:

Para todos os utilizadores:

• Não clique diretamente em links de e-mails ou mensagens. Em vez disso, visite diretamente o site oficial da empresa.
• Instale e mantenha um software antivírus, um firewall e filtros de spam.
• Verifique o URL antes de inserir quaisquer dados de login.
• Seja cético em relação a pedidos urgentes ou incomuns.
• Reporte atividade suspeita imediatamente.

Para organizações:

• Implemente padrões de autenticação de e-mails como DKIM e DMARC para verificar as mensagens recebidas.
• Realize formações regulares para os colaboradores sobre técnicas de phishing e engenharia social.
• Mantenha sessões de treinamento periódicas para aumentar a conscientização.
• Crie procedimentos claros para relatar mensagens suspeitas.

Para investidores de cripto:

• Nunca revele suas frases seed ou chaves privadas a ninguém.
• Utilize apenas os aplicativos e sites oficiais da plataforma.
• Ative a autenticação de dois fatores.
• Armazene dados críticos em carteiras de hardware.
• Verifique os endereços do destinatário duas vezes antes de fazer transferências.

Phishing contra Pharming

Embora alguns equiparem o pharming a um ataque de phishing, os seus mecanismos são diferentes. O phishing requer um erro por parte do utilizador (clicar num link ou abrir um ficheiro). O pharming não exige um erro do utilizador – o cibercriminoso manipula o registo DNS de um website comprometido, redirecionando o tráfego para uma versão falsa, mesmo que o utilizador digite o endereço correto.

Dicas dos Especialistas

Para assistência adicional, entre em contato com:

• OnGuardOnline.gov – fornece recursos para segurança na internet
• Anti-Phishing Working Group Inc. – uma organização focada na descoberta e investigação de ataques de phishing
• Os serviços internos oficiais de segurança da sua organização

Recomendações finais

Compreender os ataques de phishing e as técnicas em evolução é crítico para a proteção das informações pessoais e financeiras. Ao combinar uma segurança técnica robusta, educação e vigilância constante, tanto indivíduos quanto organizações podem se fortalecer contra a ameaça constante dos ataques de phishing em nosso mundo digital. Esteja seguro e permaneça alerta!