Resumo

  • Phishing é uma prática maliciosa em que invasores se fazem passar por entidades confiáveis ​​para induzir as pessoas a revelar informações confidenciais.

  • Aprenda a reconhecer sinais comuns de phishing, como URLs suspeitos e solicitações urgentes de informações pessoais, para ficar alerta.

  • Aprenda as diversas técnicas de phishing, desde golpes de e-mail comuns até spear phishing sofisticado, para fortalecer as defesas de segurança cibernética.

Introdução

Phishing é uma tática prejudicial em que atores mal-intencionados fingem ser fontes confiáveis ​​para induzir as pessoas a compartilharem seus dados confidenciais. Neste artigo, vamos esclarecer o que é phishing, como funciona e o que você pode fazer para evitar ser vítima desse tipo de golpe.

Como funciona o phishing

O phishing depende principalmente da engenharia social, um método no qual os invasores manipulam as pessoas para que divulguem informações confidenciais. Os invasores coletam dados pessoais de fontes públicas (como mídias sociais) para criar e-mails aparentemente autênticos. As vítimas geralmente recebem mensagens maliciosas que parecem ser de contatos familiares ou de organizações respeitáveis.

A forma mais comum de phishing é através de e-mails que contêm links ou anexos maliciosos. Clicar nesses links pode instalar malware no dispositivo do usuário ou levá-lo a sites falsificados projetados para roubar informações pessoais e financeiras.

Embora seja mais fácil detectar e-mails de phishing mal escritos, os cibercriminosos estão empregando ferramentas avançadas, como chatbots e geradores de fala de IA, para melhorar a autenticidade de seus ataques. Isto torna difícil para os usuários distinguir entre comunicações genuínas e fraudulentas.

Como reconhecer tentativas de phishing

Identificar e-mails de phishing pode ser complicado, mas existem alguns sinais que você pode observar.

Sinais comuns

Tenha cuidado se a mensagem contiver URLs suspeitos, usar endereços de e-mail públicos, induzir medo ou urgência, solicitar informações pessoais ou tiver erros ortográficos e gramaticais. Na maioria dos casos, você poderá passar o mouse sobre os links para verificar os URLs sem clicar neles.

Golpes baseados em pagamentos digitais

Os phishers muitas vezes se fazem passar por serviços de pagamento online confiáveis, como PayPal, Venmo ou Wise. Os usuários recebem e-mails fraudulentos solicitando que verifiquem os detalhes de um suposto login. É essencial permanecer alerta e reportar qualquer atividade suspeita.

Ataques de phishing na área financeira

Os golpistas se passam por bancos ou instituições financeiras e alegam falhas de segurança para obter informações pessoais. As táticas comuns incluem e-mails enganosos sobre transferências de dinheiro ou golpes de depósito direto para novos funcionários. Eles também podem alegar que há uma atualização de segurança urgente.

Golpes de phishing relacionados ao trabalho

Esses golpes personalizados envolvem invasores se passando por executivos, CEOs ou CFOs, solicitando transferências bancárias ou compras falsas. O phishing de voz com geradores de voz de IA por telefone é outro método usado por golpistas.

Como prevenir ataques de phishing

Para evitar ataques de phishing, é importante empregar múltiplas medidas de segurança. Evite clicar diretamente em qualquer link. Em vez disso, acesse o site da empresa ou os canais de comunicação oficiais para verificar se as informações que você recebeu são legítimas. Considere o uso de ferramentas de segurança, como software antivírus, firewalls e filtros de spam.

Além disso, as organizações devem usar padrões de autenticação de e-mail para verificar os e-mails recebidos. Exemplos comuns de métodos de autenticação de e-mail incluem DKIM (DomainKeys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting and Conformance).

Para os indivíduos, é essencial informar os seus familiares e amigos sobre os riscos do phishing. Para as empresas, é vital educar os funcionários sobre as técnicas de phishing e fornecer treinamento regular de conscientização para reduzir os riscos.

Se precisar de mais ajuda e informações, procure iniciativas governamentais como OnGuardOnline.gov e organizações como Anti-Phishing Working Group Inc. Elas fornecem recursos e orientações mais detalhadas para detectar, prevenir e relatar ataques de phishing.

Dicas para phishing

As técnicas de phishing estão evoluindo e os cibercriminosos usam vários métodos. Os diferentes tipos de phishing são geralmente classificados com base no objetivo e no vetor de ataque. Vamos analisá-lo com mais detalhes.

Clonagem de phishing

O invasor usa um e-mail legítimo enviado anteriormente e copia seu conteúdo em um e-mail semelhante que contém um link para um site malicioso. O invasor também pode alegar que este é um link atualizado ou novo e indicar que o link anterior estava incorreto ou expirou.

Phishing lança

Este tipo de ataque concentra-se em uma pessoa ou instituição. Um ataque de lança é mais sofisticado do que outros tipos de phishing porque é personalizado. Isso significa que o invasor primeiro coleta informações sobre a vítima (por exemplo, nomes de amigos ou familiares) e usa esses dados para atrair a vítima para um arquivo de site malicioso.

Farmacêutica

O invasor contamina um registro DNS, que redireciona efetivamente os visitantes de um site legítimo para um site fraudulento criado anteriormente pelo invasor. Este é o mais perigoso dos ataques porque os registros DNS não estão sob o controle do usuário, impossibilitando o usuário de se defender.

Baleeira

Uma forma de spear phishing que visa pessoas ricas e importantes, como CEOs e funcionários do governo.

Falsificação de e-mail

Os e-mails de phishing muitas vezes falsificam comunicações de empresas ou pessoas legítimas. Eles podem incluir links para sites maliciosos criados para vítimas inocentes. Nesses sites, os invasores coletam credenciais de login, bem como PII, usando páginas de login habilmente disfarçadas. As páginas podem conter Trojans, keyloggers e outros scripts maliciosos que roubam informações pessoais.

Redirecionamentos de site

Os redirecionamentos de sites enviam os usuários para URLs diferentes daqueles que eles pretendiam visitar. Os atores que exploram as vulnerabilidades podem inserir redirecionamentos e instalar malware nos computadores dos usuários.

Typosquatting

Typosquatting direciona o tráfego para sites falsificados que usam ortografia em idioma estrangeiro, erros ortográficos comuns ou variações sutis no domínio de nível superior. Os phishers usam domínios para imitar interfaces de sites legítimos, aproveitando-se dos usuários que digitam ou leem o URL incorretamente.

Anúncios pagos falsos

Anúncios pagos são outra tática usada para phishing. Esses anúncios (falsos) usam domínios aos quais os invasores aplicaram typosquatting e são pagos para aumentar nos resultados de pesquisa. O site pode até aparecer como um dos principais resultados de pesquisa no Google.

Ataque de bebedouro

Em um ataque watering hole, os phishers estudam os usuários e determinam quais sites eles visitam com frequência. Eles examinam esses sites em busca de vulnerabilidades e tentam injetar scripts maliciosos projetados para atingir os usuários na próxima vez que visitarem o site.

Roubo de identidade e brindes falsos

Eles personificam a identidade de figuras influentes nas redes sociais. Os phishers podem se passar por líderes importantes da empresa e anunciar brindes ou se envolver em outras práticas enganosas. As vítimas desta fraude podem até ser visadas individualmente através de processos de engenharia social destinados a encontrar utilizadores crédulos. Os atores podem hackear contas verificadas e modificar nomes de usuário para se passar por uma figura real, mantendo o status de verificado.

Recentemente, os phishers têm visado fortemente plataformas como Discord, X e Telegram com os mesmos propósitos: falsificação de bate-papos, personificação de indivíduos e imitação de serviços legítimos.

Aplicativos maliciosos

Os phishers também podem usar aplicativos maliciosos que monitoram seu comportamento ou roubam informações confidenciais. Os aplicativos podem se passar por rastreadores de preços, carteiras e outras ferramentas relacionadas a criptomoedas (que têm uma base de usuários predisposta a negociar e possuir criptomoedas).

SMS e phishing de voz

Uma forma de phishing baseada em mensagens de texto, geralmente via SMS ou mensagens de voz, que incentiva os usuários a compartilhar informações pessoais.

Phishing vs. Farmacêutica

Embora alguns considerem o pharming um tipo de ataque de phishing, ele depende de um mecanismo diferente. A principal diferença entre phishing e pharming é que o phishing exige que a vítima cometa um erro. Por outro lado, o pharming exige apenas que a vítima tente acessar um site legítimo cujo registro DNS foi comprometido pelo invasor.

Phishing no espaço criptográfico e blockchain

Embora a tecnologia blockchain forneça forte segurança de dados devido à sua natureza descentralizada, os usuários no espaço blockchain devem permanecer vigilantes contra engenharia social e tentativas de phishing. Os cibercriminosos muitas vezes tentam explorar vulnerabilidades humanas para obter acesso a chaves privadas ou credenciais de login. Na maioria dos casos, os golpes são baseados em erro humano.

Os golpistas também podem tentar enganar os usuários para que revelem suas frases iniciais ou transfiram fundos para endereços falsos. É importante ter cuidado e seguir as práticas de segurança recomendadas.

Conclusões

Concluindo, compreender o phishing e manter-se informado sobre a evolução das técnicas de fraude é crucial para proteger as informações pessoais e financeiras. Ao combinar fortes medidas de segurança, educação e sensibilização, indivíduos e organizações podem fortalecer-se contra a ameaça sempre presente do phishing no nosso mundo digital interligado. Fique SEGURO!

Leitura adicional

  • Cinco dicas para proteger seus acervos de criptomoedas

  • Cinco maneiras de melhorar a segurança da sua conta Binance

  • Como conduzir transações ponto a ponto (P2P) com segurança

Aviso Legal e Aviso de Risco: Este conteúdo é apresentado "como está" apenas para fins informativos gerais e educacionais, sem representação ou garantia de qualquer tipo. Não deve ser interpretado como aconselhamento financeiro, jurídico ou outro aconselhamento profissional, nem tem a intenção de recomendar a compra de qualquer produto ou serviço específico. Você deve procurar aconselhamento individual de consultores profissionais adequados. Como este artigo é uma contribuição de terceiros, observe que as opiniões expressas são do colaborador terceirizado e não refletem necessariamente as da Binance Academy. Para mais informações, leia nosso aviso legal completo aqui. Os preços dos ativos digitais podem ser voláteis. O valor de um investimento pode diminuir ou aumentar e você pode não recuperar o valor investido. Somente você é responsável por suas decisões de investimento. A Binance Academy não se responsabiliza por quaisquer perdas que você possa incorrer. Este material não deve ser interpretado como aconselhamento financeiro, jurídico ou outro aconselhamento profissional. Para obter mais informações, consulte nossos Termos de Uso e Aviso de Risco.