Phishing é um tipo conhecido de ataque de engenharia social e, no entanto, cerca de 80 mil pessoas ainda caem nesses golpes todos os dias.
Esses e-mails, ou textos maliciosos, parecem vir de fontes legítimas, mas tentam enganar os usuários para que forneçam dados pessoais, como número de cartão de crédito ou credenciais de login. Alguns até instalam malware que podem causar estragos na rede e custar uma fortuna para a empresa em limpeza, multas e clientes perdidos.
Dependendo das permissões da conta invadida, um ataque phishing bem-sucedido pode dar ao invasor acesso aos aplicativos e aos bancos de dados mais importantes para a empresa ou, no caso de um ataque de ransomware, permitir que ele criptografe dados essenciais ou exponha a empresa se o resgate não for pago.
Nos últimos anos, os autores de ataques de ransomware abandonaram o uso de e-mails e se concentraram em servidores públicos e vulnerabilidades de redes corporativas. Mas, ultimamente, os especialistas em segurança estão observando o ressurgimento do ransomware enviado por e-mail. Na verdade, o FBI informou que, em 2019, o comprometimento de e-mails corporativos causou um prejuízo de US$ 1,7 bilhão para as empresas dos EUA.
Sinais de que estão tentando fisgar você
Os criminosos cibernéticos estão sempre mudando de tática, mas há alguns sinais que revelam se um e-mail pode ser um golpe de phishing. Na maioria das vezes, os e-mails maliciosos "vêm" de uma fonte conhecida ou confiável, como um banco, uma operadora de cartão de crédito, um site de rede social ou uma loja online. O endereço de e-mail do remetente é bem semelhante ao da empresa legítima, com algumas discrepâncias, como pequenas diferenças ortográficas, letras faltando ou pontuação alterada, como um caractere de sublinhado em vez de um ponto.
Outros sinais vermelhos aos quais você deve ficar atento:
- Saudações ou assinaturas genéricas
- Links e sites falsos
- Texto com erros de ortografia ou gramática
- Formatação mal feita
- Anexos suspeitos
Uma vez aberto, o e-mail solicita que o destinatário clique em um link ou abra um anexo para concluir uma ação. Algumas mensagens comuns de phishing:
- Notamos uma atividade suspeita na sua conta
- Há um problema com seus dados de cobrança ou de pagamento
- Precisamos que confirme seus dados pessoais
- Você precisa pagar este boleto
- Clique neste link para fazer um pagamento
- Você tem direito a uma restituição da receita federal
- Resgate seu prêmio ou brinde
O que fazer se você receber um e-mail de phishing
Os criminosos cibernéticos são especialistas em driblar filtros de malware, por isso é bem provável que você encontre um e-mail de phishing na sua caixa de entrada. Se receber um e-mail suspeito, não responda, não clique em nenhum link, não abra nenhum anexo nem forneça qualquer informação. Encaminhe-o na mesma hora para o administrador de segurança de TI da sua empresa para que fique ciente da tentativa de phishing e tome as devidas providências.
O que fazer se você for fisgado pelo phishing
Com a preocupação da pandemia mundial e uma enxurrada de distrações para administrar quando se trabalha em casa, aumentam as chances de que você, ou alguém da sua empresa clique em um link indevido ou seja levado a revelar dados confidenciais.
É importante que todos os funcionários sejam instruídos sobre a higiene cibernética e que saibam o que fazer se caírem em um golpe de phishing. As medidas imediatas a se tomar quando se sofre um ataque são:
- Denunciar o incidente às pessoas apropriadas na mesma hora
- Desconectar-se da rede
- Isolar os computadores infectados
- Trocar as senhas
- Registrar uma queixa junto aos órgãos apropriados, se apropriado
Dicas para não ser vítima de um ataque de phishing
O phishing está crescendo no rastro da COVID-19. Os golpes usam mensagens sobre a pandemia para tentar enganar os usuários. Algumas práticas recomendadas podem ajudar os funcionários a não serem vítimas de um ataque cibernético e a evitar que os dados e aplicativos da sua empresa sejam expostos ou roubados.
- Desconfie de telefonemas, e-mails ou mensagens não solicitados que peçam informações internas
- Não forneça informações pessoais nem sobre a empresa, inclusive sua estrutura ou redes
- Não revele informações financeiras em e-mails
- Não clique em links de e-mails que solicitam informações pessoais ou financeiras
- Não envie informações confidenciais pela internet antes de verificar a segurança do site (por exemplo, https, cadeado)
- Não tente verificar uma solicitação de e-mail suspeita usando as informações de contato do e-mail
Investir em uma solução de segurança cibernética e proteção de dados abrangente é uma maneira altamente eficaz de proteger sua empresa das despesas e da dor de cabeça de fazer uma limpeza após o ataque cibernético. Procure uma solução que inclua a detecção de malware baseada em assinatura e sem assinatura, rede neural com deep learning e tecnologia anti-exploit para que seus sistemas fiquem protegidos contra ameaças conhecidas e desconhecidas.
Como nunca se sabe qual será a extensão ou o tipo de dano que um ataque cibernético causará, é muito importante escolher uma solução abrangente, que integre segurança cibernética e proteção de dados, como as soluções da Arcserve "secured by Sophos" . Baixe o Seu guia para um futuro sem ransomware para saber como uma segurança cibernética e de dados abrangente pode proteger a sua empresa das ameaças cibernéticas atuais e futuras.