O que phishing?
Existem diversos vetores de ataques virtuais, mas com toda certeza o phishing é o vetor de ataque que mais causa vítimas no mundo.
O termo “phishing” vem do Inglês que remete a pescaria, ou seja, o ataque de phishing é como pescar, os cibercriminosos lançam uma “isca” e aguardam alguém cair nela.
O objetivo principal é enganar as vítimas, fazendo com que elas passem dados sigilosos aos criminosos, tais como senhas, acesso a contas bancárias e cartões de crédito.
Normalmente esse tipo de golpe ocorre através de emails falsos, páginas fraudulentas e até mesmo em mensagens de aplicativos e redes sociais.
É um ataque antigo acredita-se que o primeiro ataque de phishing ocorreu lá nos anos 90 e com o passar dos anos tem se tornado cada vez mais sofisticado.
Esse tipo de ataque é muito comum e causa muitos danos a empresas, pessoas e celebridades, dentre os ataques mais famosos estão:
- O ataque hacker a campanha de Hillay Clinton, hackers enviaram um Email falso a John Podesta o presidente da campanha na época e conseguiram acesso ao seu Gmail.
- Operação Phish Phry em 2009 levou autoridades americanas e egípcias a descobrir um esquema milionário, onde supostamente 100 pessoas estariam envolvidas no envio de emails falsos a correntistas americanos.
- O ataque do Fappening foi um ataque que conseguiu obter fotos intimas de celebridades através de suas contas do iCloud.
Como podemos observar as motivações dos ataques variadas, desde cunho político, financeiro e até mesmo erótico, são diversas as motivações porém o mesmo vetor.
Entenda como funciona o ataque
Primeiramente temos que compreender que o intuito como citamos é enganar, sendo assim os criminosos geralmente se passam por outras pessoas ou empresas.
Fingindo ser uma outra pessoa ou empresa criminosos então confeccionam emails falsos e até mesmo sites completamente idênticos aos verdadeiros.
Fazendo isso eles dão inicio a uma campanha, disparando emails em massa para diversas pessoas aguardando que alguém clique no link ou acesse a página falsa.
Acessando a página o usuário é iludido muitas das vezes a inserir suas informações como senhas de acesso, dados pessoais como CPF, RG e etc.
Dados que podem ser utilizados para praticar outros tipos de crimes virtuais, o mais comum seria compras fraudulentas e clonagem de cartões de crédito.
Existem também modelos de ataques que fazem as vítimas realizarem o download de arquivos maliciosos a fim de comprometer a segurança da maquina.
Uma vez que o malware está instalado criminosos tem controle total sobre o computador da vítima, podendo ter acesso a informações sigilosas e até mesmo tornar o computador parte de uma botnet.
O ataque de phishing pode ser devastador para a vítima podendo comprometer dados financeiros e pessoais.
Phishing ou Spear Phishing? Qual a diferença
A principal diferença dos dois ataques é que o phishing não possui um alvo especifico é muito aleatório.
Já no caso do Spear Phishing, o ataque se torna direcionado a uma pessoa especifica ou instituição.
Normalmente realizado por grupos bem organizados ou hackers experientes esse tipo de ataque tem sempre um claro objetivo e é totalmente personalizado e direcionado a uma instituição especifica.
Os fins podem ser os mais variados, desde roubo de informações sigilosas, como contratos, planilhas e comunicação interna até mesmo o mais comum informações financeiras do alvo escolhido.
O temo “Spear Phishing” é remito a “Pesca com Arpão” ou “Pesca com Lança” que é uma atividade mais especifica e exige uma maior experiência.
Esses ataques exigem maior preparação e estudo do alvo, pois é necessário personalizar toda a ação para poder atingir a vítima.
Como evitar um ataque de Phishing ou Spear Phishing?
No caso do Phishing detectar o ataque é uma tarefa um pouco mais “simples”, por ser algo bem genérico existem detalhes que as vezes os atacantes acabam deixando passar.
Se atende sempre ao endereço do remetendo do email, ao endereço do link destino e até mesmo ao layout da página.
Desconfie sempre de emails estranhos e solicitações que não são comuns, por exemplo, solicitação de dados pessoais como RG, CPF ou até mesmo dados bancários não são procedimentos comuns de agências bancárias.
No caso do Spear Phishing é um pouco mais complicado de se detectar pois ele é criado de forma personalizada para atacar um alvo especifico.
Então o cuidado deve ser redobrado, manter soluções de proteção em múltiplas camadas é essencial.
Mas em todos os casos o fator humano é o que mais influência, então você deve ficar sempre atento a qualquer atividade suspeita, emails não esperados ou solicitações estranhas.
Mantenha sempre senhas fortes, nunca utilize a mesma senha para vários serviços, jamais clique em links suspeitos, nunca abra anexos de fontes desconhecidas ou até mesmo de fontes conhecidas porém em condições não esperadas e altere suas senhas com frequência.
Seguindo esses passos simples com toda certeza você irá conseguir evitar cair em ataques de phishing.
Sugestão de leitura:
