06/12/2017 22:34, postada por Gustavo Luiz Furuhata Ferreira

Cuidado para não ser fisgado!

A privacidade é um direito inviolável resguardado pela constituição brasileira, porém, em um mundo cada vez mais conectado tem sido uma tarefa difícil manter nossas informações particulares a salvo em um ambiente seguro. Em 2016 o Brasil foi considerado o 4º país com maior número de cibercrimes, movimentando cerca 32 bilhões de reais nessa indústria. Segundo pesquisas, globalmente esse mercado irá movimentar, até 2021, 6 trilhões de dólares por ano, sendo considerada uma das maiores ameaças para o desenvolvimento humano no futuro.

Dentre as atividades mais praticadas por cibercriminosos podemos dar destaque ao phishing, uma técnica que apesar de não ser amplamente comentada, é muito eficiente contra usuários descuidados em virtude de seu modus operandi se basear na simulação de ambientes, sites e e-mails que podem passar despercebidos por olhares menos atentos. Além disso grandes empresas também são comumente afetadas por esse tipo de ataque o que usualmente resulta em grandes vazamentos de dados.

 

O que é PHISHING?

O phishing é um ataque cibernético que usa o email disfarçado como uma arma. O objetivo é enganar o destinatário do e-mail para acreditar que a mensagem é algo que eles querem ou precisam - um pedido de seu banco, por exemplo, ou uma nota de alguém em sua empresa - e clicar em um link ou baixar um anexo.

O que realmente distingue o phishing é a forma que a mensagem leva: os atacantes se mostram como uma entidade confiável de algum tipo, muitas vezes uma pessoa real ou plausivelmente real, ou uma empresa com a qual a vítima pode fazer negócios. É um dos tipos mais antigos de ataques cibernéticos, que remonta à década de 1990, e ainda é um dos mais difundidos e perniciosos, com mensagens e técnicas de phishing cada vez mais sofisticadas.

"Phish" é pronunciado como a palavra em inglês "fish" - a analogia é de um pescador lançando um anzol com isca lá fora (o e-mail de phishing) e esperando que você morda. O termo surgiu em meados da década de 1990 entre hackers com o objetivo de enganar os usuários do AOL para desistir de suas informações de login. O "ph" faz parte de uma tradição de ortografia caprichosa de hackers, e provavelmente foi influenciado pelo termo "phreaking", abreviação de "phone phreaking", uma forma precoce de hackear que envolveu tocar sons em aparelhos telefônicos para obter chamadas gratuitas.


 

Alguns golpes de phishing que chamaram a atenção:

  • Talvez um dos ataques de phishing mais consequentes da história tenha acontecido em 2016, quando os hackers conseguiram que o presidente da campanha de Hillary Clinton, John Podesta, oferecesse sua senha do Gmail.

  • O ataque "fappening", no qual as fotos íntimas de várias celebridades foram tornadas públicas, foi pensado inicialmente como resultado da insegurança nos servidores iCloud da Apple, mas foi de fato o produto de inúmeras tentativas de phishing bem-sucedidas.

  • Em 2016, os funcionários da Universidade de Kansas responderam a um e-mail de phishing e entregaram o acesso a suas informações de depósito de cheques de pagamento, resultando em perda de salário.

 

Tipos de phishing:

Os tipos mais comuns de phishing são emails que levam a vítima a fazer uma das duas coisas:

  • Entregar informações confidenciais: Essas mensagens visam enganar o usuário para revelar dados importantes - geralmente um nome de usuário e senha que o invasor pode usar para violar um sistema ou uma conta. A versão clássica desta fraude envolve o envio de um e-mail adaptado para parecer uma mensagem de um grande banco; ao enviar a mensagem a milhões de pessoas, os atacantes asseguram que pelo menos alguns dos destinatários sejam clientes desse banco. A vítima clica em um link na mensagem e é levada a um site malicioso projetado para se assemelhar à página do banco e, em seguida, espera-se que ele entre com seu nome de usuário e senha. O invasor agora pode acessar a conta da vítima.

  • Baixar malware: Como muitos spam, esses tipos de e-mails de phishing visam que a vítima infecte seu próprio computador com malware. Muitas vezes, as mensagens são "soft targeting" - elas podem ser enviadas para um funcionário de RH com um anexo que pretende ser o currículo de um candidato a emprego, por exemplo. Esses anexos geralmente são arquivos .zip ou documentos do Microsoft Office com código incorporado malicioso. A forma mais comum de código malicioso é o ransomware, o qual bloqueia o acesso aos arquivos e dados no computador do usuário, enquanto a vítima não pagar um resgate ao atacante. No ano passado, foi estimado que 93% dos e-mails de phishing continham anexos de Ransomware.

 

Spear phishing

Quando os atacantes tentam elaborar uma mensagem para atrair um indivíduo específico, isso é chamado de spear phishing (representado por um pescador visando um peixe específico, ao invés de simplesmente lançar um gancho cego na água para ver quem morde). Os Phishers identificam seus alvos (às vezes usando informações em sites como LinkedIn) e usam endereços falsificados para enviar e-mails que poderiam parecer plausíveis que eles venham de colegas de trabalho. Por exemplo, o spear phisher pode orientar alguém no departamento de finanças e fingir ser o gerente da vítima solicitando uma grande transferência bancária em curto prazo.


 

Whaling

O whaling (caça à baleia), é uma forma de ataque dirigido ao peixe muito grande - CEOs ou outros alvos de alto valor. Muitos desses golpes visam os membros da diretoria da empresa, que são considerados particularmente vulneráveis: eles têm uma grande autoridade dentro de uma empresa, mas como eles não são funcionários de tempo integral, eles geralmente usam endereços de e-mail pessoais para correspondência comercial, o que não tem as proteções oferecidas pelo e-mail corporativo. O objetivo é enganar esses alvos a divulgar as informações confidenciais da empresa em seus discos rígidos.

Como prevenir as ataques phishing?

  • Verifique sempre a escrita das URLs nos links de e-mail antes de clicar ou inserir informações confidenciais.

  • Cuidado com os redirecionamentos de URL, onde você é sutilmente enviado para um site diferente com design idêntico.

  • Se você receber um e-mail de uma fonte que conhece, mas parece suspeito, contate essa fonte com um novo e-mail, em vez de apenas responder.

  • Não publique dados pessoais, como seu aniversário, planos de férias ou seu endereço ou número de telefone, publicamente em mídias sociais.

Se você trabalha no departamento de segurança de TI da sua empresa, você pode implementar medidas preventivas para proteger a organização, incluindo:

  • E-mail de entrada "Sandboxing", verificando a segurança de cada link que um usuário clica;

  • Inspecionar e analisar o tráfego na web;

  • Testar a organização para encontrar pontos fracos e usar os resultados para educar funcionários.

Hoje em dia, podemos ter certeza de que não importa quem é o usuário e quais são suas intenções ao navegar na internet,  ele sempre poderá estar sujeito à ataques e invasões de pessoas mal intencionadas ou malwares, pois ao mesmo tempo em que a tecnologia aprimora a segurança na web, as técnicas para violá-la se tornam ainda mais sofisticadas. Cada perfil de usuário está suscetível a um tipo mais específico de ataque. Portanto, tanto usuários domésticos, como a maioria de nós, quanto usuários corporativos devem recorrer a medidas de segurança para evitar o roubo de informações pessoais.

Manter-se sempre bem informado e adquirir bons hábitos de navegação são práticas essencialmente necessárias se o usuário deseja diminuir os riscos de ataques, pois eles só acontecem, em sua maioria, se o usuário deixa suas portas abertas ao invasor.





 

Fontes:

https://www.tecmundo.com.br/ataque-hacker/116181-segura-brasil-4-pais-sofre-o-cibercrime.htm

https://www.csoonline.com/article/3153707/security/top-5-cybersecurity-facts-figures-and-statistics-for-2017.html

http://www.securityreport.com.br/overview/mercado/brasil-e-um-dos-paises-que-mais-sofrem-ataques-ciberneticos-no-mundo/

http://www.gazetadopovo.com.br/vida-publica/justica-direito/artigos/as-redes-sociais-e-o-direito-a-privacidade-2zbku3s7jzfn95kxgyt5dd07i

http://www.securityreport.com.br/overview/tipos-de-ciberataques-que-mais-ameacam-os-usuarios/

https://www.csoonline.com/article/2117843/phishing/what-is-phishing-how-this-cyber-attack-works-and-how-to-prevent-it.html

https://www.significados.com.br/ransomware/