Levantamento da Tessian mostrou que, em média, usuários recebem 14 e-mails com ataques de phishing por ano. Esse número é ainda maior no setor de varejo, com a média alcançando 49 e-mails em um único ano. Em outra pesquisa, a Kroll detectou um aumento de 54% nos incidentes de phshing apenas no primeiro trimestre de 2022, comparado com o mesmo período em 2021.
Para os pesquisadores da empresa, esse aumento está vinculado à maior atividade dos malwares Emotet e IceID.
De acordo com o estudo Internet Security Threat Report (ISTR) da Symantec, os assuntos mais comuns para chamar a atenção do usuário foram:
- TI: Inventário Anual de Ativos
- Alterações nos seus benefícios de saúde
- Twitter: Alerta de segurança: Login no Twitter novo ou incomum
- Amazon: Ação Necessária – Sua assinatura do Amazon Prime foi recusada
- Zoom: Erro de reunião agendada
- Google Pay: Pagamento enviado
- Solicitação de cancelamento aprovada
- Microsoft 365: Ação necessária: atualize o endereço da sua assinatura no Xbox Game Pass para console
- A Ring Central está chegando!
- Dia de trabalho: Lembrete: Atualização de segurança importante necessária
Golpes de phishing mais comuns
A maioria dos usuários sabe o que é um golpe via e-mail, apesar disso, devido à sofisticação dos golpes de phishing, muitos ainda clicam em links maliciosos e permitem que dados críticos sejam roubados. Relatório da Verizon mostrou que 96% dos ataques de phishing chegam por e-mail, 3% via sites maliciosos e 1%, os chamados vishing, por telefone, quando o usuário recebe uma mensagem de texto maliciosa.
E-mail de Phishing
Como vimos, o e-mail de phishing é o modelo de golpe mais utilizado por cibercriminosos, que registram um domínio falso para imitar um site genuíno e enganar usuários desatentos. Esse domínio, normalmente, inverte caracteres ou os troca por outros próximos ou ate mesmo cria um domínio exclusivo que faz alusão à marca. A melhor forma de evitar riscos é não clicar em links assim e sempre verificar o endereço.
Spear Phishing
Outro modelo de e-mail de phishing é o spear phishing que utiliza dados reais do usuário para tentar enganá-lo. Para torná-lo ainda mais convincente, o criminoso procura se dirigir ao usuário pelo nome e formata o texto de forma a dar a sensação de ser uma mensagem verdadeira, não um golpe. A dica para segurança é a mesma: sempre verificar o endereço do e-mail antes de realizar qualquer ação solicitada.
Whaling
Whaling ou ataque de baleia é um ataque direcionado e visa usuários em determinados postos dentro de uma empresa, como funcionários do alto escalão. Links e sites falsos, normalmente, não são utilizados nessa modalidade de ataque, pois o foco é imitar funcionários seniores que estão “dando uma ordem”. Ou seja, são ataques que dependem dos funcionários realmente acreditarem que receberam uma solicitação real.
Smishing e Vishing
São ataques em que os e-mails são trocados por mensagens móveis, como alertas supostamente enviados por uma empresa supostamente sugerindo que o usuário foi vítima de uma fraude, ou com uma oferta tentadora.
Angler Phishing
É um vetor relativamente novo que utiliza as mídias sociais para o golpe. Normalmente, o cibercriminoso cria links e sites falsos nas mídias sociais e se passa por um agente de atendimento para colher informações ou credenciais de contas. A maioria dos ataques foca em clientes de instituições financeiras. A melhor forma de evitar esse ataque é prestar atenção se a conta da empresa é verificada e, em caso de dúvidas, entrar em contato diretamente com a empresa pelo seu site ou telefone de atendimento.
Como evitar ataques de phishing
A melhor maneira de evitar golpes de phishing é investir na conscientização dos funcionários para que consigam detectar com facilidade um e-mail malicioso. Apesar disso, à medida que o número de ataques cresce, o uso de soluções de Zero Day e prevenção de ameaças são fundamentais, mas há algumas práticas que podem ajudar a evitar riscos:
- Não clique em um link de e-mail, abra uma nova página no navegador e digite a URL
- Mantenha sistemas operacionais e navegadores atualizados
- Bloqueie pop-ups
- Não insira informações em janelas pop-ups se não tiver certeza que o site é seguro
- Não use a conta de administrador sem necessidade
- Exclua mensagens suspeitas
- Aceite apenas certificados confiáveis em páginas na web e não ignore os avisos do navegador
- Não clique em links para sites desconhecidos
Evite perder dados por superexposição e ameaças cibernéticas com nossas poderosas ferramenta de detecção de ameaças, correção automatizada de riscos e alertas comportamentais. Entre em contato e solicite uma demonstração.
O que devo fazer agora?
Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:
Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.
Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.
Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.
