Blog do Moloni

Dicas & Conselhos

24-12-2020

Phishing - O que é e como deve proteger-se

Os esquemas de phishing são estratégias de crescente credibilidade para roubar dados e provocar ações maliciosas e sistemas de clientes. Saiba aqui como prevenir.

Phishing - Imagem Blog

Phishing é o nome dado a um crime cibernético para obter de forma fraudulenta ou enganosa dados confidenciais para utilizações ilícitas. Estes procedimentos criminosos são desenvolvidos através de mensagens de email ou mensagens instantâneas falsas que encaminham para sites também eles falsos mas com um aspecto muito semelhante às comunicações reais feitas normalmente pela entidade em causa. O Phishing é um bom exemplo de técnicas de engenharia social utilizadas para a atração de utilizadores baseadas na confiança que esses utilizadores tenham em serviços bancários, redes sociais, ou serviços governamentais.

Este tipo de ataques tem efeitos muito diversos que dependem das intenções dos atacantes, podendo abarcar desde o roubo da identidade até ao roubo de dinheiro e qualquer outro tipo de informações de caráter privado. Numa forma mais rebuscada os phishers podem mesmo investir na criação de perfis falsos em redes sociais para criar uma relação de confiança que cative mais facilmente a vítima do ataque a fazer as ações pretendidas.

O Phishing pode assumir várias formas e modelos das quais se destacam:

  • Email: A vítima recebe um email com links que podem levar a sites maliciosos, que coloquem malware no equipamento de acesso do cliente ou que provoquem a recolha de dados sensíveis;
  • Sites falsos: É a este tipo de interfaces que os links fazem as vítimas chegar a partir dos emails e das mensagens enviadas por instant messaging ou até por SMS. Uma vez recolhidas as informações pretendidas, podem depois usurpar a identidade para aceder a redes sociais, a informações bancárias ou a outro tipo de dados sensíveis e cuja utilização pode significar sérios compromissos para o legítimo titular;
  • Nas redes sociais: Com a utilização de nomes, imagens e outras informações parecidas com as do legítimo titular, os atacantes podem criar perfis muito semelhantes e difundir mensagens maliciosas, transferir software malicioso ou mesmo personificar o atacante perante terceiros;
  • Chamadas de voz: A utilização de chamadas de voz é utilizada para tentar obter informações particulares através de telefone. Estas chamadas poderão ser feitas por um operador ou por um sistema automático.

Nos e-mails, o suporte mais frequentemente utilizado para a execução deste tipo de esquemas, podem enumerar-se um conjunto de características que facilitam a detecção da fraude e a tomada de ações defensivas de forma mais rápida e eficaz.

Estas caraterísticas podem passar por mas não se limitando a:

  • Inesperado - Trata-se de um email que sai fora da rotina do utilizador. Não corresponde a qualquer ação cuja participação do utilizador seja esperada;
  • Erros ortográficos - Este tipo de emails pode conter alguns erros gramaticais ou algumas deficiências de formatação próprias de aplicação direta de softwares de idiomas não nativos;
  • Não têm informação pessoal - Geralmente, a informação apresentada é genérica e não identifica especificamente o destinatário da comunicação. Lembre-se que o objetivo do email é precisamente obter informação pessoal da vítima;
  • Facilitam ações imediatas - Facilitam em demasia as ações pretendidas - ir a um site, abrir um anexo ou dar informações relevantes;
  • Têm um grau crescente de verosimilhança - Parecem-se cada vez mais com as fontes oficiais que tentam emular, aumentando a eficiência dos seus propósitos.

Há um conjunto de ações que podem ser tomadas no sentido de minimizar os efeitos nefastos do phishing. A implementação destes procedimentos implicam algumas mudanças de atitude por parte dos utilizadores que, no entanto, podem significar grandes ganhos no que diz respeito à segurança dos dados da empresa perante ataques cada vez mais facilitados e generalizados.

Estas ações deverão ser adaptadas a cada organização e podem passar por mas não se limitando a:

  • Análise prévia de emails suspeitos: Antes de abrir links ou descarregar anexos de emails que não conheça e que apelem a ações emocionais imediatas, analise essas mensagens uma segunda vez e se as dúvidas sobre o objetivo permanecerem, elimine-as. Em caso de imperativa necessidade poderá fazer uma nova mensagem de email - sem utilizar a funcionalidade de resposta - para o endereço identificado no envio deste email e verificar a pertinência do envio anterior.
  • Nunca forneça dados pessoais ou credenciais de segurança por e-mails duvidosos: Outras entidades ou empresas e especialmente bancos e outras entidades gestoras de dados sensíveis que estejam ativamente empenhados em combater estas práticas nunca pedem dados sensíveis por e-mail. Na raríssima e censurável possibilidade de tal acontecer, deverá solicitar confirmação da necessidade de tal acontecer através de uma comunicação independente (outro email, por exemplo).
  • Altere as suas passwords regularmente: A prática de alteração regular de passwords é um ponto muito importante na segurança digital de uma empresa. Mesmo que, por alguma falha de segurança, as suas credenciais de acesso sejam acedidas indevidamente, se elas já não estiverem a funcionar, os prejuízos deverão ser diminutos. 
  • Crie passwords com vários elementos e de dificuldade elevada: Quanto mais específica for a password utilizada para cada serviço online, mais difícil será descobri-la. Para que tal aconteça deverá fazer uso de caracteres maiúsculos, minúsculos, símbolos e números, assim como um elevado conjunto de caracteres.
  • Utilize um software antivírus e anti malware atualizado: Quando forem passadas todas as barreiras, tenha ainda mais uma. Um programa de antivírus devidamente atualizado pode impedir ações danosas para o seu sistema de trabalho.

Estas e outras formas de, ilicitamente, conseguir informação alheia é punível por lei a estas práticas deverão ser denunciadas às autoridades competentes. 

O e-mail também é provavelmente a forma mais comum de pessoas com intenções maliciosas acederem a informação sensível. Um click pode num suporte errado pode mesmo fazer toda a diferença. Um click no sítio errado pode ser o gatilho para permitir o download de um programa malicioso no seu computador sem que você saiba. Este programa pode, então, fazer mais de uma série de coisas maliciosas, como criptografar o seu disco rígido (e as outras unidades ligadas em rede), espiar o uso do seu computador para descobrir passwords.

Esses e-mails geralmente não são em resposta a um e-mail que você enviou (embora pareçam ser de alguém que você conhece) - eles não são solicitados, portanto, isso deve inicialmente causar suspeitas. Se contiver um anexo, isso deve soar os alarmes - muitos têm arquivos PDF ou Zip anexados que, quando abertos, executam um programa. 

Se você não tiver certeza sobre um e-mail, entre em contato com o suporte técnico para obter aconselhamento ou, talvez, entre em contato com o remetente por meio de outro método. telefone para verificar se eles realmente enviaram. O ponto principal sobre o e-mail é ser suspeito em todos os momentos!

Registe-se e experimente grátis durante 30 dias!
Experimentar
Subscreva a Newsletter
Subscrever
© 2021 Moloni
Software de facturação online
Certificado pela Autoridade Tributária Nº 2860
O Moloni utiliza cookies para lhe garantir a melhor experiência enquanto utilizador. Ao continuar a navegar no site, concorda com a utilização destes cookies. Entendi e aceito