Varonis | Segurança de dentro para fora

Phishing: 5 vetores de ataques

Escrito por Emilia Bertolli | Jun 23, 2022 7:03:00 AM

Levantamento da Tessian mostrou que, em média, usuários recebem 14 e-mails com ataques de phishing por ano. Esse número é ainda maior no setor de varejo, com a média alcançando 49 e-mails em um único ano. Em outra pesquisa, a Kroll detectou um aumento de 54% nos incidentes de phshing apenas no primeiro trimestre de 2022, comparado com o mesmo período em 2021. 

Para os pesquisadores da empresa, esse aumento está vinculado à maior atividade dos malwares Emotet e IceID. 

De acordo com o estudo Internet Security Threat Report (ISTR) da Symantec, os assuntos mais comuns para chamar a atenção do usuário foram: 

  • TI: Inventário Anual de Ativos 
  • Alterações nos seus benefícios de saúde 
  • Twitter: Alerta de segurança: Login no Twitter novo ou incomum 
  • Amazon: Ação Necessária – Sua assinatura do Amazon Prime foi recusada 
  • Zoom: Erro de reunião agendada 
  • Google Pay: Pagamento enviado 
  • Solicitação de cancelamento aprovada 
  • Microsoft 365: Ação necessária: atualize o endereço da sua assinatura no Xbox Game Pass para console 
  • A Ring Central está chegando! 
  • Dia de trabalho: Lembrete: Atualização de segurança importante necessária 

Golpes de phishing mais comuns

A maioria dos usuários sabe o que é um golpe via e-mail, apesar disso, devido à sofisticação dos golpes de phishing, muitos ainda clicam em links maliciosos e permitem que dados críticos sejam roubados. Relatório da Verizon mostrou que 96% dos ataques de phishing chegam por e-mail, 3% via sites maliciosos e 1%, os chamados vishing, por telefone, quando o usuário recebe uma mensagem de texto maliciosa. 

E-mail de Phishing

Como vimos, o e-mail de phishing é o modelo de golpe mais utilizado por cibercriminosos, que registram um domínio falso para imitar um site genuíno e enganar usuários desatentos. Esse domínio, normalmente, inverte caracteres ou os troca por outros próximos ou ate mesmo cria um domínio exclusivo que faz alusão à marca. A melhor forma de evitar riscos é não clicar em links assim e sempre verificar o endereço. 

Spear Phishing

Outro modelo de e-mail de phishing é o spear phishing que utiliza dados reais do usuário para tentar enganá-lo. Para torná-lo ainda mais convincente, o criminoso procura se dirigir ao usuário pelo nome e formata o texto de forma a dar a sensação de ser uma mensagem verdadeira, não um golpe. A dica para segurança é a mesma: sempre verificar o endereço do e-mail antes de realizar qualquer ação solicitada. 

Whaling

Whaling ou ataque de baleia é um ataque direcionado e visa usuários em determinados postos dentro de uma empresa, como funcionários do alto escalão. Links e sites falsos, normalmente, não são utilizados nessa modalidade de ataque, pois o foco é imitar funcionários seniores que estão “dando uma ordem”. Ou seja, são ataques que dependem dos funcionários realmente acreditarem que receberam uma solicitação real. 

Smishing e Vishing

São ataques em que os e-mails são trocados por mensagens móveis, como alertas supostamente enviados por uma empresa supostamente sugerindo que o usuário foi vítima de uma fraude, ou com uma oferta tentadora. 

Angler Phishing

É um vetor relativamente novo que utiliza as mídias sociais para o golpe. Normalmente, o cibercriminoso cria links e sites falsos nas mídias sociais e se passa por um agente de atendimento para colher informações ou credenciais de contas. A maioria dos ataques foca em clientes de instituições financeiras. A melhor forma de evitar esse ataque é prestar atenção se a conta da empresa é verificada e, em caso de dúvidas, entrar em contato diretamente com a empresa pelo seu site ou telefone de atendimento. 

Como evitar ataques de phishing

A melhor maneira de evitar golpes de phishing é investir na conscientização dos funcionários para que consigam detectar com facilidade um e-mail malicioso. Apesar disso, à medida que o número de ataques cresce, o uso de soluções de Zero Day e prevenção de ameaças são fundamentais, mas há algumas práticas que podem ajudar a evitar riscos: 

  • Não clique em um link de e-mail, abra uma nova página no navegador e digite a URL 
  • Mantenha sistemas operacionais e navegadores atualizados 
  • Bloqueie pop-ups 
  • Não insira informações em janelas pop-ups se não tiver certeza que o site é seguro 
  • Não use a conta de administrador sem necessidade 
  • Exclua mensagens suspeitas 
  • Aceite apenas certificados confiáveis em páginas na web e não ignore os avisos do navegador 
  • Não clique em links para sites desconhecidos 

Evite perder dados por superexposição e ameaças cibernéticas com nossas poderosas ferramenta de detecção de ameaças, correção automatizada de riscos e alertas comportamentais. Entre em contato e solicite uma demonstração