Porque o phishing funciona?

Porque o phishing funciona?

Existem muitas maneiras de aproveitar a confiança de um usuário.

Existem muitas razões que explicam porque o phishing funciona tão bem. Podemos começar falando da habilidade dos golpistas de enganar as vítimas, a fim de atraí-los para problemas. Os phishers podem usar ofertas tentadoras, como brindes complementares, para atrair usuários. Este é um método muito eficiente, afinal quem não gosta de uma oferta gratuita.

Um trapaceiro também pode usar alguma estratégia em torno de um determinado tópico ou evento – pegue, por exemplo, o golpe de grande escala que ocorreu após a Copa do Mundo da FIFA. No verão de 2014, um site de phishing imitando a página oficial da FIFA, levou os usuários a assinar uma petição em defesa de Luis Albert Suarez, a estrela da seleção uruguaia. Para assinar a petição, um usuário precisava preencher o formulário on-line, que exigia o nome, país, número de telefone celular e e-mail.

Outro site de fraudes ofereceu a seus visitantes a oportunidade de baixar um bilhete eletrônico para o campeonato. Ao clicar no link, será transferido um cavalo de Tróia, que extrairia dados pessoais e financeiros importantes.

Saber sobre o golpe não é suficiente para se proteger

Para atacar os usuários que conhecem algumas estratégias, os cibercriminosos usam outra ferramenta eficiente com um alcance imenso, proveniente das contas dos amigos da vítima – por exemplo, nas redes sociais. Páginas falsas do facebook são um ótimo exemplo de phishing em redes sociais.

Outro método extremamente frutífero que é usado para enganar uma vítima para clicar em um link de phishing é criar uma sensação de urgência e pânico. Isso pode ser feito em um cenário em que um criminoso ameaça sua vítima bloqueando seu perfil de usuário ou até mesmo uma conta bancária. Para melhorar a eficiência de tal abordagem, eles também recorrem ao chamado “vishing” (ou phishing de voz, realizado por telefone). Nem todo mundo é tão cauteloso em uma situação tão crítica que pensará em recusar os pedidos de um “oficial de segurança” muito assertivo que solicite dados do cartão de crédito para evitar que uma conta seja bloqueada.

O phishing está em constante evolução

Uma das principais razões pelas quais o phishing tem sido tão bem-sucedido é devido à constante evolução técnica dos instrumentos de phishing, cada vez mais sofisticados.

Visualmente, sites falsos dificilmente podem ser distinguidos de páginas legítimas; Além disso, muitos deles têm nomes de domínio convincentes e, em alguns casos, até mesmo empregam uma conexão HTTPS segura com certificados genuínos.

O phishing móvel também se tornou muito usual. Devido às peculiaridades técnicas de smartphones e tablets (tamanho de tela menor, por exemplo), pode ser ainda mais difícil distinguir um site de phishing de um legítimo.

Deve-se sempre ter em mente que, ao realizar um ataque de phishing, um cibercriminoso não precisa necessariamente entrar em seu sistema. É por isso que nenhuma plataforma existente é capaz de protegê-lo totalmente do phishing, tornando-se uma ameaça verdadeiramente universal.

É extremamente rentável para os cibercriminosos

A popularidade geral do phishing não desaparecerá, pois é uma forma altamente lucrativa de cibercrime. As ferramentas de phishing são facilmente acessíveis, e seu alcance é tremendo graças a redes sociais altamente povoadas. Além disso, o ato de phishing requer pouco esforço do criminoso, já que a maioria das ações realizadas por phishers são automatizadas.

Com tudo isso em mente, um cibercriminoso pode obter um cheque de pagamento muito decente. Na maioria dos casos, os phishers caçam dados financeiros. Não há necessidade de esquemas sofisticados para monetizar a colheita.

Além disso, o phishing tende a ser usado ao lado de outros métodos criminais, criando sinergias eficientes para os culpados. Digamos que você receba um e-mail de phishing via spam, e assim que os criminosos estiverem em posse de seus contatos, o e-mail de phishing será transferido. Com a criação de um extenso banco de dados de contatos ao vivo, os hackers podem enviar malwares em massa e usar o botnet resultante conforme julgarem apropriado.

Em última análise, não assuma que a única coisa que os golpistas buscam é seu cartão de crédito ou dados financeiros. Muitos phishers ficariam perfeitamente felizes em obter acesso às suas credenciais de usuário em um serviço de e-mail ou rede social.

Como evitar o phishing

Então, quais dicas e truques os usuários podem se armar? Em primeiro lugar, use o senso comum.

Mantenha a calma e não seja vítima de provocações que atuem como agentes de fraudes on-line e “vishing”. Dê uma olhada minuciosa nos links e sites que eles dirigem para você. Se você receber um link suspeito de um amigo ou colega, certifique-se de que são realmente eles que te enviaram antes de clicar no link. Quando se deparar com um ataque “vishing”, lembre-se de que nenhum funcionário do banco precisaria urgentemente dos detalhes do seu cartão de crédito.

Idealmente, não vá para um site através de links; insira o endereço manualmente. Não precisamos nem dizer que todos os sites devem ser acessados ​​com proteções e redes robustas no local. Não se esqueça de atualizar regularmente seu software de antivírus, especialmente se ele oferecer recursos antiphishing.

Pensando nisso, gostaríamos de sugerir o post sobre o Endpoint Protection da Sophos, além de diversas funcionalidades fundamentais para a segurança da informação, ele também dispõe do recurso de antiphishing. Clique aqui para ler o artigo.

Continua com duvidas, quer enviar uma sugestão, encontrou um erro ou algo que pode ser melhorado? Fale conosco através do blog@triplait.com.

Gostou? Curte, comenta, compartilha e deixa um recado para o nosso time aqui nos comentários abaixo!

 

 

Powered by WP Review

About the Author

Hugo Bär
Sócio-diretor da Tripla, responsável pela área de Tecnologia, Inovação e Desenvolvimento de Produtos, com mais de 15 anos de experiência em empresas no Brasil e Europa, nas áreas de redes e segurança da informação