As pessoas são a sua melhor defesa contra ataques phishing, mas você deve ensiná-las ou elas podem se tornar o seu maior ponto fraco.
Como se indica nas linhas abaixo, phishing – como são chamadas as fraudes contra as informações financeiras ou pessoais de um titular de uma conta online por uma empresa ou instituição criminosa que se faz passar por outra legítima – e as suas derivações, spearphishing (phishing direcionado) e whaling (phishing direcionado a pessoas de alto nível ou escalão), são uma das formas mais populares de malwares.
O phishing envolve o envio de falsos emails ou o redirecionamento das vítimas a falsos sites onde elas são enganadas e levadas a fornecer informações financeiras, que ao final podem levar – além do prejuízo financeiro – à perda de dados pessoais ou corporativos, vazamento de dados na internet ou outros danos ainda maiores. Você talvez se lembre de algumas dessas histórias de 2016:
Por que as empresas escondem as suas funções de segurança? Os usuários do Yahoo! poderiam estar mais protegidos com alguns cliques
GoDaddy customers target of phishing scam (em inglês)
Brutally efficient phishing scam takes advantage of PayPal's awfulness (em inglês)
Dropbox breach may be fueling phishing campaigns (em inglês)
American Express customers phished using phishing prevention scam (em inglês)
De acordo com um relatório recente do Anti-Phishing Working Group (APWG), o phishing cresceu 250% no primeiro trimestre de 2016. A instituição de combate ao cibercrime registrou mais ataques phishing no primeiro trimestre – incluído o recorde de 289.371 sites diferentes de phishing – do que em qualquer outro trimestre desde que os dados começaram a ser registrados em 2004.
“No mundo inteiro, os ataques utilizando técnicas phishing se tornaram mais agressivos em 2016, com keyloggers que contêm sofisticados componentes de rastreamento para roubar informações específicas. Empresas de varejo e instituições financeiras estão no topo da lista das mais atingidas”, disse Dave Jevans, Presidente da APWG.
Os Estados Unidos continuam a ser o país que hospeda o maior número de sites phishing, enquanto que a China é o pais mais infectado por malwares phishing. Os varejistas são o ramo mais atingido de todos.
Além da crescente popularidade, o phishing também está se transformando em uma ameaça cada vez mais perigosa. No final de março de 2016, 93% de todos os emails de phishing continham ransomwares de criptografia de arquivos, o que representa um alarmante crescimento desde os 56% de dezembro de 2015. O número dos emails de phishing atingiu 6,3 milhões no primeiro trimestre de 2016: 789% acima do quarto trimestre de 2015.
A engenharia social é parte integrante dos ataques phishing. As pessoas são os pontos fracos de qualquer cadeia de segurança e é geralmente muito mais fácil levar uma pessoa a revelar a sua senha do que tentar descobri-la com força bruta. Os criminosos do phishing se valem da vaidade, avareza, curiosidade, altruísmo, respeito ou medo da autoridade, tudo para roubar informações e conseguir invadir um sistema de computadores.
Face a face com o inimigo: nós mesmos
As pessoas são o ponto fraco da segurança online. Isso é especialmente verdade quando o assunto é phishing. De acordo com um recente estudo alemão, quase 50% de todos os 1.700 entrevistados clicaram em links enviados por estranhos em emails e mensagens do Facebook, ainda que 78% deles disseram que sabiam dos riscos.
“Todos reconhecem que usuários normais que simplesmente estão fazendo o seu trabalho podem ser os pontos mais fracos na cadeia de segurança digital”, disse Khushbu Pratap, pesquisado da Gartner.
O phishing pode ser muito complexo, mas vencê-lo não é. O segredo é simples: pratique computação segura e você não terá que se preocupar com se tornar outra vítima do phishing.
Como evitar o phishing
- Tenha bons hábitos e não clique em links em emails que você não solicitou ou em mensagens do Facebook
- Não abra anexos de emails que você não pediu ou não reconhece
- Proteja suas senhas e não as revele a ninguém
- Não dê informações sensíveis a ninguém: nem no telefone, nem pessoalmente, nem por email ou mensagens
- Preste atenção ao endereço do site (URL). Em muitos casos de phishing, o endereço pode parecer legítimo, mas está escrito incorretamente ou o domínio pode ser diferente (.com quando deveria ser .gov)
- Mantenha o seu navegador sempre atualizado
Foto: Anna Popović.