De acordo com o nosso parceiro Kaspersky, Portugal é o segundo país com mais utilizadores afetados por ataques de Phishing.

 

Phishing, um dos mais comuns ataques virtuais, termo que varia do inglês “fishing” (pescar), é o ato de enviar um email para um destinatário, alegando, falsamente, ser uma fonte credível, como uma empresa, numa tentativa de conseguir informações pessoais e importantes, que serão utilizadas, posteriormente, para fins indesejáveis.

Assim, se os utilizadores “morderem” o isco e clicarem no link, são enviados para uma outra página onde são requisitadas as credenciais de acesso. Ao fornecer estas informações, está a dar todos os seus dados aos atacantes. Da mesma forma, poderá contaminar o seu device com algum vírus.

O conceito em estudo surge da junção de Phreaking + fishing = Phishing.

Este tipo de ataque é composto por três fases:

  1. O ataque chega via comunicação eletrónica, como email ou telefone;
  2. O hacker finge a sua identidade, fazendo-se passar por uma organização credível;
  3. O objetivo é, então, obter informações pessoais e confidenciais.

Deste modo, o método de operar é idêntico, sendo enviado, via email, redes sociais, sms ou outro vetor, um texto, cujo objetivo passa pela abertura de um link, fazer download ao anexo, enviar informações confidenciais ou, ainda, atualização de informações pessoais como passwords, números de cartões de crédito, contas dos bancos, entre outros e, por vezes, é incitado o pagamento.

O Phishing, na sua maioria, tem como principal finalidade o roubo de identidade, dados ou de dinheiro. Ainda existem casos, normalmente mais comum nas redes sociais, em que o hacker cria um perfil falso, cria uma relação com a vítima e, após chegar ao ponto de que necessita, ataca e obtém tudo aquilo que quer. Neste caso, para além dos danos financeiros e pessoais, há danos psicológicos que levam à falta de confiança por parte da vítima.

Tipos de Phishing:

Phishing por Email

O método mais comum, contendo, geralmente, links que direcionam a sites maliciosos ou a descarregar anexos que contêm malware.

Phishing nos Sites

Igualmente conhecidos como sites falsificados, uma vez que são cópias falsas de sites reais e reconhecidos como confiáveis. Assim, nestes novos sites, as vítimas são coagidas a inserir as credenciais de login, para que possam ter acesso à sua conta.

Vishing

É a versão de áudio de voz. Aqui, o hacker tenta convencer a vítima por telefone a divulgar as suas informações pessoais, crendo tratar-se de uma entidade acreditada, para que, posteriormente, possa roubar a identidade do indivíduo. Podem, ainda, fazer ameaças, assustando a vítima, insistindo na partilha dos dados não só pessoais, como bancários.

Smishing

 

Versão via sms, onde o lesado recebe uma mensagem de texto que solicita o clique num link ou do donwload de uma aplicação. Contudo, ao proceder a um destes passos, são desviadas as suas informações pessoais.

Pharming

 

Phishing que corrompe o DNS (sistema que traduz os números dos IP´s em nomes de domínio), sendo, deste modo, os utilizadores direcionados para uma página falsa, induzindo ao fornecimento de informações sigilosas.

Phishing nas Redes Sociais

 

Alguns hackers tentam a sua sorte via redes sociais, criando correntes para que a sua rede de contactos a continue a partilhar. Ainda, e como referido anteriormente, são criados perfis falsos para poderem colocar em prática o método Phishing. Pode, também, tomar a forma de campanhas imperdíveis.

Gama de ataques Phishing:

Phishing Enganoso

 

Ocorre quando os hackers se disfarçam de empresas ou indivíduos legítimos para conseguir a sua confiança.

Blind Phishing

 

Ataque sem estudo prévio, onde é enviado um email genérico e com um título chamativo, esperando que alguém abra o email e/ou clique no link.

Spear Phishing

 

Ataques personalizados de Phishing com o propósito de atingir um indivíduo ou entidade específica. Este tipo de assalto requer um conhecimento preexistente, para que, posteriormente, possam combinar todas as informações que possuem, a fim de criar um email credível.

Whaling

Ataque de Phishing que visa um determinado indivíduo mas que possua um certo valor monetário e na sociedade, sendo considerado de alto nível.

Fraude de CEO

Phishers passam por CEO´s de uma empresa ou outro indivíduo de alto escalão, para que desta forma possam extrair informações de pagamento ou outras informações privilegiadas dos funcionários. Este tipo de ataque ocorre, frequentemente, a par com o Whaling dado que, a este ponto, o hacker já teve acesso às credenciais de login.

Dropbox e Google Docs Phishing

Serviços de cloud populares para este tipo de ataques. Neste caso, os hackers ativam versões falsificadas das telas de login, roubando as identidades das vítimas quando estas digitam as suas informações de acesso, tendo, assim, entrada direta para todas as suas informações pessoais.

Clone Phishing

Os invasores duplicam um email legítimo, enviando como se de um email seguro se tratasse. Porém, os links que provinham no email foram alterados para links maliciosos, sendo disfarçados por elementos verdadeiros. De seguida, os indivíduos voltam à página original sem que se tenham apercebido de nada. Assim, o phisher disfarça-se da vítima para conseguir mais informações de outras pessoas.

Manipulação de Links

Os links são alterados, dando a ideia de que vão ter a um lugar quando, na verdade, vão ter a outro duvidoso. Este truque é visível pela inclusão não só de erros ortográficos, como também da exibição do nome de um site confiável.

Scripting entre Sites

Difícil de detetar uma vez que dá a ilusão de ser credível em todos os aspetos físicos. Porém, os hackers exploram os pontos fracos nos scripts de um site para o poder sequestrar.

Esquema Nigeriano/419

Alguém afirma ser um príncipe nigeriano ou um membro do governo, que necessita de auxílio para transferir uma grande quantia de dinheiro para fora da Nigéria. O email vem assinalado como urgente ou privado e o remetente pede ao destinatário para este lhe fornecer os números das contas para que lhe possa guardar os fundos. O 419 sugere este tipo de ataque uma vez que é referente ao código penal nigeriano relativo a fraude.

Como detetar um email Phishing:

  • Erros gramaticais ou ortográficos;
  • Links estranhos ou anexos suspeitos;
  • Argumentos alarmantes ou que instigam a curiosidade;
  • Mensagens que alegam ser provenientes de bancos, entidades do governo, referentes a cartões de crédito, envolvendo notícias ou acontecimentos recentes, promessas de revelações, prémios, recompensas e heranças, mensagem enviada por engano e envolvendo redes sociais.

A ActiveSys pode ajudar com soluções de segurança para que o Phishing não seja um problema para si, através da Proteção e Gestão da Informação | ActiveSys – Consulting and Services, Lda e da Segurança | ActiveSys – Consulting and Services, Lda.

A ActiveSys mantém-no informado e seguro.

ActiveSys, we activate your business.