Resumo

  • Spoofing é uma prática maliciosa em que os invasores se disfarçam de entidades confiáveis ​​para induzir indivíduos a revelar informações confidenciais.

  • Fique atento contra o phishing, reconhecendo sinais comuns, como URLs suspeitos e solicitações urgentes de informações pessoais.

  • Entenda diversas técnicas de phishing, desde fraudes comuns por e-mail até phishing sofisticado, para fortalecer suas defesas de segurança cibernética.

Introduzir

Um ataque de phishing é uma tática maliciosa em que agentes mal-intencionados fingem ser pessoas confiáveis ​​para induzir as pessoas a compartilharem dados confidenciais. Neste artigo, vamos esclarecer o que é phishing, como funciona e o que você pode fazer para evitar ser vítima de tais golpes.

Como funcionam os ataques de phishing

Os ataques de phishing dependem fortemente da engenharia social, um método pelo qual os invasores manipulam os indivíduos para que revelem informações confidenciais. Os invasores coletam informações pessoais de fontes públicas (como mídias sociais) para criar e-mails que pareçam autênticos. As vítimas recebem frequentemente mensagens maliciosas que fingem vir de contactos familiares ou de organizações respeitáveis.

A forma mais comum de ataque de phishing ocorre através de e-mails contendo links ou anexos maliciosos. Ao clicar nesses links, os usuários podem ter malware instalado em seus dispositivos ou ser levados a sites falsos projetados para roubar informações pessoais e financeiras.

Embora seja fácil detectar e-mails falsos mal escritos, os cibercriminosos estão usando ferramentas avançadas como chatbots e geradores de voz de IA para aumentar a autenticidade de seus ataques. Isso torna difícil para os usuários distinguirem entre comunicações reais e falsas.

Reconheça truques falsificados

Identificar e-mails falsos pode ser complicado, mas existem alguns sinais que você pode verificar.

Sinais comuns

Tenha cuidado se a mensagem contiver um URL suspeito, usar um endereço de e-mail público, parecer assustadora ou urgente, solicitar informações pessoais ou tiver erros ortográficos e gramaticais. Na maioria dos casos, você poderá passar o mouse sobre os links para examinar os URLs sem realmente clicar neles.

Falsificação baseada em meios de pagamento digitais

Os golpistas geralmente se fazem passar por serviços de pagamento online confiáveis, como PayPal, Venmo ou Wise. Os usuários recebem e-mails de phishing solicitando que verifiquem seus detalhes de login. É importante ficar vigilante e relatar atividades suspeitas.

Representando uma instituição financeira

Os fraudadores se passam por bancos ou instituições financeiras, alegando violações de segurança para obter informações pessoais. As táticas comuns incluem e-mails de phishing sobre transferências de dinheiro ou golpes de depósito direto direcionados a novos funcionários. Eles também podem alegar que há uma atualização de segurança urgente disponível.

Falsificação relacionada ao trabalho

Esses golpes personalizados envolvem invasores que se passam por executivos, CEOs ou CFOs, solicitando transferências bancárias ou compras falsas. A falsificação de voz usando um gerador de voz de IA por telefone é outro método usado por golpistas.

Como prevenir ataques de phishing

Para evitar ataques de phishing, é importante utilizar múltiplas medidas de segurança. Evite clicar diretamente em qualquer link. Em vez disso, visite o site oficial ou os canais de comunicação da empresa para verificar se as informações que você recebe são legítimas ou não. Considere o uso de ferramentas de segurança como software antivírus, firewalls e filtros de spam. 

Além disso, as organizações devem usar padrões de autenticação de e-mail para verificar os e-mails recebidos. Exemplos populares de métodos de autenticação de e-mail incluem DKIM (DomainKeys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting and Conformance).

Para os indivíduos, é importante informar familiares e amigos sobre os riscos de ataques de phishing. Para as empresas, é importante educar os funcionários sobre técnicas de ataque de phishing e fornecer treinamento periódico de conscientização para minimizar os riscos.

Se precisar de mais informações, procure iniciativas governamentais como OnGuardOnline.gov e organizações como Anti-Phishing Working Group Inc. Essas organizações fornecem recursos e orientações mais detalhadas sobre como detectar, evitar e denunciar ataques de phishing.

Formas de ataques de falsificação

As técnicas de phishing estão evoluindo, com os cibercriminosos utilizando uma variedade de métodos. Diferentes tipos de ataques de phishing são frequentemente classificados de acordo com o alvo e a direção do ataque. Vamos dar uma olhada mais de perto.

Cópia falsificada

Um invasor usaria um e-mail legítimo enviado anteriormente e copiaria seu conteúdo em um e-mail semelhante contendo um link para um site malicioso. Um invasor também pode alegar que este é um link novo ou atualizado, indicando que o link anterior estava incorreto ou expirou.

Ataque de falsificação "Pegar peixe com uma lança"

Este tipo de ataque concentra-se em uma pessoa ou organização. Um ataque de lança é mais sofisticado do que outros tipos de ataques desonestos porque é moldado. Isso significa que os invasores primeiro coletam informações sobre a vítima (por exemplo, o nome de um amigo ou membro da família) e usam esses dados para atrair a vítima para um arquivo de site malicioso.

Golpe farmacêutico

Um invasor envenenaria os registros DNS, redirecionando os visitantes de um site legítimo para um site fraudulento criado anteriormente pelo invasor. Este é o ataque mais perigoso porque os registros DNS não estão sob o controle do usuário, deixando-o impotente para se defender.

Caça à baleia

Uma forma de ataque de phishing que tem como alvo pessoas ricas e importantes, como CEOs e funcionários do governo.

Falsificação de e-mail

Os e-mails de phishing muitas vezes fingem ser comunicações de empresas ou indivíduos legítimos. E-mails de phishing podem fornecer às vítimas involuntárias links para sites maliciosos, onde os invasores coletam informações de login e PII usando páginas de login habilmente disfarçadas. Esses sites podem conter trojans, keyloggers e outros scripts maliciosos que roubam informações pessoais.

Redirecionamento de site

Os redirecionamentos de site levam os usuários a URLs diferentes daquele que o usuário pretendia visitar. Os atores que exploram a vulnerabilidade podem inserir redirecionamentos e instalar malware no computador do usuário.

Ataque graças a erros ortográficos

Erros ortográficos direcionam o tráfego para sites falsos que usam ortografia em idioma estrangeiro, erros ortográficos comuns ou variações sutis em nomes de domínio de nível superior. Os fraudadores usam nomes de domínio para imitar a aparência de sites legítimos, aproveitando-se de usuários que digitam ou interpretam URLs incorretamente.

Publicidade paga falsa

A publicidade paga é outra tática usada para fraudes. Esses anúncios (falsos) usam nomes de domínio que os invasores digitaram e pagaram para aparecer nos resultados de pesquisa. O site pode até aparecer como um dos principais resultados de pesquisa no Google.

Ataque o bebedouro

Em um ataque watering hole, os golpistas analisam os usuários e determinam os sites que eles visitam com frequência. Eles examinam esses sites em busca de vulnerabilidades e tentam injetar scripts maliciosos projetados para atingir os usuários na próxima vez que visitarem esse site.

Falsificar a identidade e dar presentes falsos

Este é o ato de se passar por figuras influentes nas redes sociais. Os golpistas podem se passar por líderes importantes de empresas e anunciar brindes ou se envolver em outros golpes. As vítimas desse truque podem até ser alvo de ataques pessoais por meio de processos de engenharia social destinados a encontrar usuários desavisados. Os atores podem hackear contas verificadas e modificar nomes de usuário para se passarem por personagens reais, mantendo seu status verificado.

Recentemente, os golpistas têm como alvo plataformas como Discord, X e Telegram com o mesmo objetivo: falsificar bate-papos, personificar indivíduos e imitar serviços legítimos.

Aplicativo malicioso

Os golpistas também podem usar aplicativos maliciosos que rastreiam seu comportamento ou roubam informações confidenciais. Esses aplicativos podem servir como rastreadores de preços, carteiras e outras ferramentas relacionadas a criptografia (com uma base de usuários que tende a negociar e possuir criptomoedas).

SMS e falsificação de voz

Uma forma de falsificação baseada em mensagens de texto, muitas vezes realizada através de SMS ou mensagens de voz, que incentiva os usuários a compartilhar informações pessoais.

Compare ataques de phishing com pharming

Embora algumas pessoas considerem o pharming um tipo de ataque de phishing, ele se baseia em um mecanismo diferente. A principal diferença entre phishing e pharming é que o phishing exige que a vítima cometa um erro. Por outro lado, o pharming exige apenas que a vítima tente acessar um site legítimo cujos registros DNS tenham sido comprometidos pelo invasor.

Ataques de phishing no setor de blockchain e criptomoedas

Embora a tecnologia blockchain ofereça forte segurança de dados devido à sua natureza descentralizada, os usuários no espaço blockchain devem ser cautelosos com engenharia social e tentativas de phishing. Os cibercriminosos muitas vezes tentam explorar vulnerabilidades humanas para obter acesso a chaves ou credenciais privadas. Na maioria dos casos, os golpes são baseados em erro humano.

Os golpistas também podem tentar induzir os usuários a revelar frases mnemônicas ou transferir dinheiro para endereços falsos. É importante ser cauteloso e seguir as práticas recomendadas de segurança.

Resumo

Resumindo, compreender os ataques de phishing e manter-se informado sobre as técnicas de phishing é muito importante para os investidores protegerem as suas informações pessoais e financeiras. Ao combinar medidas poderosas de segurança, aprendizagem e sensibilização, indivíduos e organizações podem reforçar as suas defesas contra as ameaças sempre presentes de ataques de phishing num mundo digital, onde tudo está interligado. Mantenha-se SAFU!

Leia mais:

  • 5 dicas para proteger seus ativos criptográficos

  • 5 maneiras de melhorar a segurança da sua conta Binance

  • Como se manter seguro na negociação ponto a ponto (P2P)

Isenção de responsabilidade: este conteúdo é fornecido a você “como está” apenas para informações gerais e fins educacionais, sem representação ou garantia de qualquer tipo. Não deve ser interpretado como aconselhamento financeiro, jurídico ou outro aconselhamento profissional, nem pretende ser uma recomendação de compra de qualquer produto ou serviço específico. Você deve procurar aconselhamento de consultores profissionais apropriados. Nos casos em que os artigos são contribuídos por colaboradores terceiros, observe que as opiniões expressas pertencem ao colaborador terceirizado e não refletem necessariamente as opiniões da Binance Academy. Leia nosso aviso completo aqui para obter mais detalhes. Os preços dos ativos digitais podem flutuar. O valor do seu investimento pode cair ou subir e você pode não recuperar o valor investido. Você é o único responsável por suas decisões de investimento e a Binance Academy não é responsável por quaisquer perdas que você possa incorrer. Este material não deve ser interpretado como aconselhamento financeiro, jurídico ou outro aconselhamento profissional. Para obter mais informações, consulte nossos Termos de Uso e Aviso de Risco.