De grandes empresas a indivíduos, o phishing afeta a todos no mundo digital de hoje.
Dia após dia, vemos notícias sobre novos ataques cibernéticos: violações de dados, mais um ransomware ataque de e assim por diante. De grandes empresas a indivíduos, todos somos afetados por essas ameaças. Um fato que não é tão conhecido é que o primeiro vetor da maioria desses ataques assume a forma de uma simples de phishing de mensagem. O phishing é um dos vetores de ataque mais populares e seu uso só aumentou com o tempo. De acordo com um relatório recente publicado pelo Anti-Phishing Working Group, do qual a Avast é patrocinadora, o segundo trimestre de 2022 foi o pior trimestre para phishing já observado.
Essencialmente, o phishing é quando alguém lhe envia um link ou um e-mail que parece vir de uma fonte legítima, mas, na verdade, leva a um site falso. Os sites de phishing parecem muito convincentes e projetados para enganar as pessoas. Eles podem ser hospedados em um site real e até parecer uma mensagem oficial de um banco, rede social ou outra organização. A pessoa que lhe envia o link de phishing ou e-mail quer que você confie nele e insira suas informações pessoais. Esta informação é então usada pela pessoa que envia a mensagem enganosa para cometer o roubo de identidade.
Uma vez que os invasores obtiveram a identidade da vítima, eles têm um campo aberto de abuso: eles podem bloquear suas contas online, direcionar seus contatos ou fingir ser você para cometer outros crimes. Como visto na imagem acima, os cibercriminosos usam o medo e a urgência para forçar os usuários a tomar decisões precipitadas, por isso muitos e-mails de phishing costumam se referir a alguma ameaça — uma alegação de que sua conta será bloqueada ou excluída, ou um acesso não autorizado foi detectado.
Os invasores estão ficando mais sofisticados, com diferentes jogadores especializados em diferentes tarefas, desde roubar credenciais até lavar dinheiro. Ter kits de phishing à venda tornou-se uma realidade, e essa tendência é semelhante ao que vimos em outras áreas, como ransomware, onde existem grupos que criam uma plataforma em troca de uma porcentagem dos resgates obtidos. Recentemente, nossa equipe vem estudando o EvilProxy, um serviço de phishing que permite que cibercriminosos não treinados executem campanhas de phishing capazes de contornar a autenticação de dois fatores.
Do ponto de vista da engenharia social, as melhorias também são evidentes. Mesmo para um olho treinado, às vezes é realmente difícil distinguir uma mensagem de phishing de uma real. Além disso, esses ataques têm como alvo a vítima, usando seu idioma nativo em várias plataformas.
Por exemplo, o phishing por SMS (também conhecido como smishing) tornou-se bastante popular e funciona da mesma maneira. Abaixo, podemos ver um SMS fraudulento direcionado a clientes do banco Banco Santander :
Felizmente, a proteção contra tentativas de phishing aumentou devido à maior conscientização sobre esses golpes. No entanto, nem todos os usuários sabem como identificar sites de phishing e, portanto, não estão preparados para evitar fornecer informações confidenciais.
Embora os navegadores e as soluções de segurança incluam proteção contra phishing, sua eficácia pode variar e não há muitos laboratórios de testes independentes executando testes de phishing, sendo a AV-Comparatives uma das poucas que executam testes abrangentes de certificação antiphishing.
Aqui estão algumas dicas importantes para manter em mente:
1988 - 2024 Copyright © Avast Software s.r.o. | Sitemap Política de Privacidade
