Levantamento da Tessian mostrou que, em média, usuários recebem 14 e-mails com ataques de phishing por ano. Esse número é ainda maior no setor de varejo, com a média alcançando 49 e-mails em um único ano. Em outra pesquisa, a Kroll detectou um aumento de 54% nos incidentes de phshing apenas no primeiro trimestre de 2022, comparado com o mesmo período em 2021.
Para os pesquisadores da empresa, esse aumento está vinculado à maior atividade dos malwares Emotet e IceID.
De acordo com o estudo Internet Security Threat Report (ISTR) da Symantec, os assuntos mais comuns para chamar a atenção do usuário foram:
A maioria dos usuários sabe o que é um golpe via e-mail, apesar disso, devido à sofisticação dos golpes de phishing, muitos ainda clicam em links maliciosos e permitem que dados críticos sejam roubados. Relatório da Verizon mostrou que 96% dos ataques de phishing chegam por e-mail, 3% via sites maliciosos e 1%, os chamados vishing, por telefone, quando o usuário recebe uma mensagem de texto maliciosa.
Como vimos, o e-mail de phishing é o modelo de golpe mais utilizado por cibercriminosos, que registram um domínio falso para imitar um site genuíno e enganar usuários desatentos. Esse domínio, normalmente, inverte caracteres ou os troca por outros próximos ou ate mesmo cria um domínio exclusivo que faz alusão à marca. A melhor forma de evitar riscos é não clicar em links assim e sempre verificar o endereço.
Outro modelo de e-mail de phishing é o spear phishing que utiliza dados reais do usuário para tentar enganá-lo. Para torná-lo ainda mais convincente, o criminoso procura se dirigir ao usuário pelo nome e formata o texto de forma a dar a sensação de ser uma mensagem verdadeira, não um golpe. A dica para segurança é a mesma: sempre verificar o endereço do e-mail antes de realizar qualquer ação solicitada.
Whaling ou ataque de baleia é um ataque direcionado e visa usuários em determinados postos dentro de uma empresa, como funcionários do alto escalão. Links e sites falsos, normalmente, não são utilizados nessa modalidade de ataque, pois o foco é imitar funcionários seniores que estão “dando uma ordem”. Ou seja, são ataques que dependem dos funcionários realmente acreditarem que receberam uma solicitação real.
São ataques em que os e-mails são trocados por mensagens móveis, como alertas supostamente enviados por uma empresa supostamente sugerindo que o usuário foi vítima de uma fraude, ou com uma oferta tentadora.
É um vetor relativamente novo que utiliza as mídias sociais para o golpe. Normalmente, o cibercriminoso cria links e sites falsos nas mídias sociais e se passa por um agente de atendimento para colher informações ou credenciais de contas. A maioria dos ataques foca em clientes de instituições financeiras. A melhor forma de evitar esse ataque é prestar atenção se a conta da empresa é verificada e, em caso de dúvidas, entrar em contato diretamente com a empresa pelo seu site ou telefone de atendimento.
A melhor maneira de evitar golpes de phishing é investir na conscientização dos funcionários para que consigam detectar com facilidade um e-mail malicioso. Apesar disso, à medida que o número de ataques cresce, o uso de soluções de Zero Day e prevenção de ameaças são fundamentais, mas há algumas práticas que podem ajudar a evitar riscos:
Evite perder dados por superexposição e ameaças cibernéticas com nossas poderosas ferramenta de detecção de ameaças, correção automatizada de riscos e alertas comportamentais. Entre em contato e solicite uma demonstração.