Phishing: o que é e como se proteger?

O avanço da tecnologia e a pandemia de covid-19 impulsionaram a digitalização das empresas e o trabalho remoto, mas também ampliaram os riscos de algumas ameaças, como o phishing. Este tipo de ataque tem o objetivo de colher informações de pessoas e coloca em risco a organização como um todo.

Segundo um levantamento feito pela empresa de segurança de informação Kaspersky, em 2020 o Brasil foi o país mais atingido por tentativas de phishing. Entre fevereiro e março daquele ano, durante a pandemia, o número de ataques cresceu 120% no país e 19,9% dos usuários brasileiros de internet tentou abrir pelo menos uma vez links enviados para roubar dados.

Além disso, o relatório Strategic Security Survey produzido pela Dark Reading aponta que, em 2021, 53% das organizações citaram o phishing como causa direta de incidentes de segurança.

O que é phishing e como este tipo de ataque funciona?

Phishing é um tipo de ataque virtual em que os cibercriminosos buscam colher informações de uma pessoa, como dados pessoais, senhas, dados bancários, número de cartão de crédito ou arquivos e documentos corporativos, por exemplo.

O nome phishing é uma alusão ao ato de “pescar” vítimas no meio virtual por meio de iscas – e-mails ou comunicações que parecem ser feitas por organizações reais.

Esta é uma das ameaças que têm crescido no ambiente virtual, especialmente através de e-mails ou aplicativos de mensagem.

Em geral, a mensagem solicita informações pessoais ou financeiras e bancárias, mas também pode incluir um link para um site suspeito em que estes dados são inseridos.

Os criminosos contam com a distração ou falta de conhecimento das vítimas, pois esses canais de comunicação fazem parte do dia a dia da maioria das pessoas e essas ações podem passar despercebidas na rotina empresarial.

Uma das técnicas mais comuns é se passar por um banco ou uma instituição financeira, enviando para a vítima um e-mail induzindo-a a completar um formulário falso ou visitar uma página adulterada para inserir credenciais de login ou detalhes da conta.

Com isso, as informações roubadas geralmente são usadas para esvaziar a conta bancária (pessoal ou da empresa) ou são vendidas online para outros golpes que podem causar prejuízos financeiros e à imagem da corporação no mercado.

O spear phishing é um método mais avançado, em que os criminosos visam o ataque a indivíduos específicos, geralmente executivos, gerentes ou proprietários de empresa.

Para isso, é feita uma pesquisa detalhada sobre a vítima com o objetivo de dificultar a identificação do conteúdo do e-mail como fraudulento.

Com as informações de um CEO, por exemplo, o criminoso pode solicitar recursos, realizar transferências financeiras ou acessar informações sigilosas sem levantar suspeitas pois, dependendo do alvo e do interesse, o ataque pode atingir um alto grau de complexidade.

Como proteger sua empresa contra phishing?

A medida mais importante para evitar fraudes como o phishing é o treinamento dos colaboradores, pois este tipo de golpe conta com técnicas de engenharia social para acessar dados e invadir sistemas.

Na área de cibersegurança, o ser humano é considerado o elo mais fraco da proteção, pois o erro humano é sempre um fator importante a ser considerado, junto a ferramentas e soluções específicas para proteger os dados e a rede corporativa.

Além disso, é importante se manter alerta sempre que uma mensagem eletrônica de uma instituição que parece confiável pedir credenciais de acesso ou outros dados sensíveis, como senhas, por exemplo.

O ideal é sempre confirmar o conteúdo com o remetente ou com um contato confiável da organização antes de clicar no link ou fazer o download de um anexo. Ao fazer isso, o usuário pode ser levado a sites maliciosos ou contaminar o dispositivo com um malware.

Por que investir em uma solução antiphishing?

Os riscos à cibersegurança de empresas são cada vez maiores. De acordo com registros do IC3 (Internet Crime Complaint Center), órgão do FBI que centraliza queixas de golpe na Internet, o roubo de contas (de executivos ou não) gerou perdas financeiras de mais de US$ 1,7 bilhão no ano de 2019 e mais de US$ 1,8 bi em 2020.

Tendo isso em vista, além do treinamento e conscientização dos colaboradores, também é importante investir em soluções específicas para a proteção dos servidores de e-mails, como o IRONSCALES, oferecido pela IB Cybersecurity

Em geral, os provedores de e-mail em nuvem oferecem alguns recursos de segurança, mas a engenharia social, imitações internas e de fornecedores e até mesmo a falta de conhecimento dos usuários podem causar prejuízos milionários à organização.

Para evitar esse cenário, IRONSCALES é uma plataforma de segurança SaaS (Software as a Service) alimentada por IA, aprimorada por milhares de equipes de segurança e criada para detectar e remover ameaças na caixa de entrada dos colaboradores.

A solução é fácil de ser implementada e operada, com ampla capacidade de parar todos os tipos de ameaças por e-mail, incluindo ataques avançados como BEC, ATO e mais.

IRONSCALES combina o poder da inteligência artificial e humana em um ciclo contínuo de inovação, tornando os desafios complexos de segurança mais fáceis de serem solucionados.

• Proteção abrangente contra todas as formas de phishing antes, durante e após incidentes;
• Ferramentas e abordagem habilitadas para IA;
• Inovação contínua e engajamento voltado para o futuro;
• Foco em phishing (vs. SEG);
• Soluções baseadas em nuvem;
• Funciona dentro dos recursos de segurança da plataforma de e-mail (Office365, G-Suite, Microsoft Exchange).

Entre em contato com nossos consultores e saiba como proteger sua empresa contra phishing e outras ameaças virtuais.