O que é o phishing?
Os ataques de phishing têm como objetivo roubar ou prejudicar dados confidenciais ao enganar as pessoas para que revelem informações pessoais, como palavras-passe e números do cartão de crédito.
Diferentes tipos de ataques de phishing
Os ataques de phishing são feitos por impostores que se fazem passar por fontes fiáveis e podem facilitar o acesso a todos os tipos de dados confidenciais. À medida que as tecnologias evoluem, os ciberataques também. Saiba mais sobre os tipos mais persuasivos de phishing.
Phishing por e-mail
A forma mais comum de phishing, este tipo de ataque utiliza táticas como hiperligações falsas para levar os destinatários dos e-mails a partilhar as suas informações pessoais. Os atacantes fazem-se passar por um grande fornecedor de contas, como a Microsoft ou a Google, ou até um colega.
Phishing de malware
Outra abordagem frequente ao phishing, este tipo de ataque envolve plantar malware disfarçado como um anexo de confiança (como um currículo ou extrato bancário) num e-mail. Em alguns casos, abrir um anexo de malware pode paralisar sistemas inteiros de TI.
Ataque spear phishing
Enquanto a maioria dos ataques de phishing são lançados como uma vasta rede, o ataque spear phishing tem como alvo utilizadores específicos ao explorar informações recolhidas através de pesquisa sobre os seus trabalhos e vidas sociais. Estes ataques são altamente personalizados, tornando-se particularmente eficazes em contornar a cibersegurança básica.
Ataques spear phishing a alvos importantes
Quando utilizadores maliciosos têm como alvo um "peixe graúdo", como um empresário ou uma celebridade, fala-se de ataque spear phishing a alvos importantes. Estes impostores normalmente realizam uma pesquisa significativa sobre os seus alvos para encontrar um momento oportuno para roubar credenciais de início de sessão ou outras informações confidenciais. Se tem muito a perder, os autores de ataques spear phishing a alvos importantes têm muito a ganhar.
Smishing
Uma combinação das palavras "SMS" e "phishing", o smishing envolve enviar mensagens de texto disfarçadas de comunicações fiáveis de empresas como a Amazon ou a FedEx. As pessoas são particularmente vulneráveis a esquemas por SMS, uma vez que as mensagens de texto são entregues em texto simples e parecem mais pessoais.
Vishing
Em campanhas de vishing, os atacantes em call centers fraudulentos tentam enganar as pessoas para que forneçam informações pessoais por telefone. Em muitos casos, estes esquemas utilizam a engenharia social para convencer as vítimas a instalar malware nos seus dispositivos na forma de uma aplicação.
Táticas comuns de phishing
Comunicação enganadora
Os atacantes são habilidosos ao manipular as suas vítimas e fazer com que forneçam dados confidenciais ao esconder mensagens e anexos maliciosos em locais onde as pessoas não os conseguem distinguir bem (por exemplo, nas suas caixas de entrada do e-mail). É fácil assumir que as mensagens que chegam à sua caixa de entrada são legítimas, mas tenha atenção – os e-mails de phishing normalmente parecem seguros e inofensivos. Para evitar ser vítima destes ataques, abrande o ritmo e examine as hiperligações e os endereços de e-mail dos remetentes antes de clicar em algo.
Perceção de necessidade
As pessoas são vítimas de phishing porque pensam que têm de agir. Por exemplo, as vítimas podem transferir malware disfarçado como um currículo porque têm urgência em contratar ou introduzir as suas credenciais bancárias num site suspeito para recuperar uma conta que expira em breve. Criar uma falsa perceção de necessidade é um truque comum porque funciona. Para manter os seus dados em segurança, aja com intenso escrutínio ou instale tecnologia de proteção de e-mail que fará o trabalho árduo por si.
Confiança errónea
Os utilizadores maliciosos enganam pessoas ao criar um falso sentimento de confiança – e até os mais perspicazes são vítimas dos seus esquemas. Ao fazerem-se passar por fontes fiáveis como a Google, Wells Fargo ou UPS, os phishers podem convencê-lo a tomar medidas antes que se aperceba de que foi enganado. Muitas mensagens de phishing não são detetadas se não estiverem implementadas medidas de cibersegurança avançadas. Proteja as suas informações privadas com tecnologia de segurança de e-mail concebida para identificar conteúdo suspeito e eliminá-lo antes que chegue à sua caixa de entrada.
Manipulação emocional
Os atores maliciosos utilizam táticas psicológicas para convencer os seus alvos a agir sem pensar devidamente. Depois de criar confiança ao fazerem-se passar por uma fonte familiar e criarem um falso sentimento de urgência, os atacantes exploram emoções como o medo e a ansiedade para conseguirem o que pretendem. As pessoas tendem a apressar decisões quando lhes dizem que vão perder dinheiro, ter problemas legais ou perder o acesso a um recurso necessário. Tenha cuidado com qualquer mensagem que lhe exija "agir agora", pois poderá ser fraudulenta.
Os perigos dos e-mails de phishing
Um ataque de phishing bem-sucedido pode ter consequências graves. Pode passar por dinheiro roubado, cobranças fraudulentas em cartões de crédito, perda de acesso a fotos, vídeos e ficheiros – até cibercriminosos a fazerem-se passar por si e a colocar outras pessoas em risco.
No trabalho, os riscos para o seu empregador podem incluir perda de fundos da empresa, exposição de informações pessoais de clientes e colegas, roubo ou perda de acesso a ficheiros confidenciais, para além de prejudicar a reputação da sua empresa. Em muitos casos, os danos podem ser irreparáveis.
Felizmente, existem muitas soluções para proteção contra o phishing, tanto em casa como no trabalho.
Sugestões rápidas para evitar o phishing
Não confie nos nomes a apresentar
Verifique o endereço de e-mail do remetente antes de abrir uma mensagem – o nome a apresentar pode ser falso.
Verifique se existem gralhas
Os erros de ortografia e gramática pobre são típicos em e-mails de phishing. Se algo parecer estranho, sinalize-o.
Veja antes de clicar
Coloque o cursor do rato sobre hiperligações em conteúdo que parece genuíno para examinar o endereço da ligação.
Leia a saudação
Se o e-mail se dirigir a "Caro cliente" em vez de si, tenha atenção. É provável que seja fraudulento.
Reveja a assinatura
Verifique se existem informações de contacto no rodapé do e-mail. Os remetentes legítimos incluem-nas sempre.
Tenha cuidado com as ameaças
Expressões baseadas no medo, como "A sua conta foi suspensa" são frequentes em e-mails de phishing.
Proteção contra ciberameaças
Apesar de os esquemas de phishing e outras ciberameaças estarem em constante evolução, existem diversas medidas que pode tomar para se proteger.
Defenda os princípios Confiança Zero
Os princípios Confiança Zero, como a autenticação multifator, acesso just-enough e encriptação ponto a ponto, protegem contra ciberameaças em evolução.
Proteja as suas aplicações e dispositivos
Impeça, detete e responda a phishing e outros ciberataques com o Microsoft Defender para Office 365.
Acesso seguro
Proteja os utilizadores de ataques sofisticados e mantenha a sua organização a salvo de ameaças baseadas em identidades.
Perguntas mais frequentes
-
O principal objetivo de qualquer esquema de phishing é roubar informações confidenciais e credenciais. Tenha atenção a qualquer mensagem (por telefone, e-mail ou mensagem de texto) que lhe peça dados confidenciais ou que prove a sua identidade.
Os atacantes trabalham arduamente para imitar entidades familiares e utilizam os mesmos logótipos, designs e interfaces que marcas ou utilizadores individuais que conhece. Fique alerta e não clique numa ligação ou abra um anexo a menos que tenha a certeza de que a mensagem é legítima.
Seguem-se algumas sugestões para reconhecer um e-mail de phishing:
- Ameaças urgentes ou chamadas à ação (por exemplo: "Abra imediatamente").
- Remetentes novos ou incomuns – qualquer pessoa que lhe envie um e-mail pela primeira vez.
- Ortografia e gramática pobres (normalmente devido a traduções inadequadas).
- Ligações ou anexos suspeitos – texto com hiperligações que revela ligações de um endereço IP ou domínio diferente.
Erros ortográficos subtis (por exemplo, "micros0ft.com" ou "rnicrosoft.com")
-
- Escreva o máximo de detalhes sobre o ataque de que se conseguir lembrar. Tome nota de quaisquer informações que tenha partilhado, como nomes de utilizador, números de conta ou palavras-passe.
- Altere imediatamente as palavras-passe das suas contas afetadas e em qualquer outro lugar onde possa utilizar a mesma palavra-passe.
- Confirme se está a utilizar autenticação multifator (ou de dois passos) em todas as contas que utiliza.
- Notifique todas as partes relevantes de que as suas informações foram comprometidas.
- Se perdeu dinheiro ou foi vítima de roubo de identidade, denuncie o caso às autoridades locais e à Comissão Federal do Comércio. Forneça os detalhes que recolheu no passo 1.
Se acredita que foi vítima de um ataque de phishing de forma inadvertida, existem algumas coisas que deve fazer:
Tenha em conta que, quando envia as suas informações a um atacante, é provável que estas sejam divulgadas rapidamente a outros utilizadores maliciosos. Pode esperar receber novos e-mails de phishing, mensagens de texto e chamadas telefónicas.
-
Se receber uma mensagem suspeita na sua caixa de entrada do Microsoft Outlook, clique em Denunciar mensagem a partir do friso e, em seguida, selecione Phishing. Esta é a forma mais rápida de remover a mensagem da sua caixa de entrada. Em Outlook.com, selecione a caixa de verificação junto à mensagem suspeita na sua caixa de entrada, selecione a seta junto a Lixo eletrónico e, em seguida, selecione Phishing.
Se perdeu dinheiro ou foi vítima de roubo de identidade, denuncie-o às autoridades locais e entre em contacto com aComissão Federal do Comércio. Tem um site inteiro dedicado à resolução de problemas desta natureza.
-
Não. Apesar de o phishing ser mais comum através de e-mail, os phishers também utilizam chamadas telefónicas, mensagens de texto e até pesquisas na Web para obter informações confidenciais.
-
Os e-mails de spam são mensagens de lixo não solicitadas com conteúdo irrelevante ou comercial. Podem anunciar esquemas de dinheiro rápido, ofertas ilegais ou descontos falsos.
O phishing é uma tentativa mais direcionada (e, normalmente, mais bem disfarçada) de obter dados confidenciais ao enganar as vítimas para fornecerem voluntariamente informações e credenciais de conta.
Siga o Microsoft Security