Retomar

  • Phishing, ou phishing em francês, é uma prática maliciosa em que os invasores se apresentam como entidades confiáveis ​​para induzir indivíduos a revelar informações confidenciais.

  • Fique atento contra o phishing, identificando sinais comuns, como URLs suspeitos e solicitações urgentes de informações pessoais.

  • Aprenda sobre diferentes técnicas de phishing, desde golpes comuns por e-mail até spear phishing sofisticado, para fortalecer as defesas de segurança cibernética.

Introdução

Phishing é uma tática nefasta em que atores mal-intencionados se apresentam como fontes confiáveis ​​para induzir as pessoas a compartilharem dados confidenciais. Neste artigo, explicaremos o que é phishing, como funciona e quais etapas você pode tomar para evitar ser vítima de tais golpes.

Como funciona o phishing

O phishing depende principalmente da engenharia social, um método pelo qual os invasores manipulam os indivíduos para que divulguem informações confidenciais. Os invasores coletam informações pessoais de fontes públicas (como mídias sociais) para criar e-mails que pareçam autênticos. As vítimas geralmente recebem mensagens maliciosas que parecem vir de contatos familiares ou de organizações respeitáveis.

A forma mais comum de phishing ocorre através de e-mails contendo links ou anexos maliciosos. Ao clicar nesses links, você corre o risco de instalar malware em seu dispositivo ou de ser redirecionado para sites falsos projetados para roubar suas informações pessoais e financeiras.

Embora e-mails de phishing mal escritos sejam mais fáceis de detectar, os cibercriminosos usam ferramentas avançadas como chatbots e geradores de voz de IA para melhorar a autenticidade de seus ataques. Isto torna difícil para os usuários distinguir entre comunicações genuínas e fraudulentas.

Reconhecer tentativas de phishing

Identificar e-mails de phishing pode ser complicado, mas existem alguns sinais que você pode observar.

Sinais mais comuns

Tenha cuidado se a mensagem contiver URLs suspeitos, usar endereços de e-mail públicos, provocar medo ou urgência, solicitar informações pessoais ou apresentar erros ortográficos e gramaticais. Na maioria dos casos, você poderá passar o mouse sobre os links para verificar os URLs sem realmente clicar neles.

Golpes de pagamento digital

Os golpistas de phishing geralmente se fazem passar por serviços de pagamento online confiáveis, como PayPal, Venmo ou Wise. Os usuários recebem e-mails fraudulentos solicitando que verifiquem seus dados de login. É essencial permanecer vigilante e denunciar qualquer atividade suspeita.

Golpes de phishing relacionados a finanças

Os golpistas se passam por bancos ou instituições financeiras, citando vulnerabilidades de segurança para obter informações pessoais. As táticas comuns incluem e-mails enganosos sobre transferências de dinheiro ou golpes de depósito direto direcionados a novos funcionários. Os golpistas também podem alegar que uma atualização de segurança é urgente.

Golpes de phishing relacionados ao trabalho

Esses golpes personalizados envolvem invasores se passando por executivos, CEOs ou CFOs, solicitando transferências bancárias ou compras falsas. O phishing de voz usando geradores de voz de IA por telefone é outro método usado por golpistas.

Como prevenir ataques de phishing

Para evitar ataques de phishing, é importante utilizar diversas medidas de segurança. Evite clicar diretamente em links. Em vez disso, acesse o site oficial ou os canais de comunicação da empresa para verificar se as informações que você recebeu são legítimas. Considere o uso de ferramentas de segurança, como software antivírus, firewalls e filtros de spam. 

As organizações também devem usar padrões de autenticação de e-mail para verificar os e-mails recebidos. Exemplos comuns de métodos de autenticação de e-mail incluem DKIM (DomainKeys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting, and Conformance).

Para os indivíduos, é essencial informar os seus familiares e amigos sobre os riscos do phishing. Para as empresas, é essencial educar os seus funcionários sobre técnicas de phishing e fornecer formação periódica de sensibilização para reduzir os riscos.

Se precisar de ajuda e informações adicionais, procure iniciativas governamentais como OnGuardOnline.gov e organizações como o Anti-Phishing Working Group Inc. Essas iniciativas fornecem recursos e orientações mais detalhadas para detectar, evitar e denunciar ataques de phishing.

Tipos de phishing

As técnicas de phishing estão evoluindo e os cibercriminosos estão usando métodos diferentes. Os diferentes tipos de phishing são geralmente classificados com base no alvo e no vetor de ataque. Vamos dar uma olhada nisso mais de perto.

Phishing por clonagem

Um invasor usará um e-mail legítimo enviado anteriormente e copiará seu conteúdo em um e-mail semelhante contendo um link para um site malicioso. O invasor também pode fingir que se trata de um link atualizado ou de um novo link, indicando que o anterior estava incorreto ou expirou.

Spear phishing (arpão)

Este tipo de ataque tem como foco uma pessoa ou instituição. Um ataque de spear phishing é mais sofisticado do que outros tipos de phishing porque é direcionado. Isso significa que o invasor primeiro coleta informações sobre a vítima (por exemplo, nomes de amigos ou familiares) e usa esses dados para atrair a vítima para um arquivo de site malicioso.

Pharming (sequestro de domínio)

Um invasor envenenará um registro DNS que, na prática, redirecionará os visitantes de um site legítimo para um site fraudulento criado anteriormente pelo invasor. Este é o ataque mais perigoso porque os registros DNS não estão sob o controle do usuário, tornando-o impotente para se defender.

Baleação (spear phishing executivo)

Uma forma de ataque de spear phishing que tem como alvo pessoas ricas e importantes, como CEOs e funcionários do governo.

Sequestro de e-mail

Os e-mails de phishing normalmente falsificam comunicações de empresas ou pessoas legítimas. E-mails de phishing podem apresentar às vítimas involuntárias links para sites maliciosos, onde os invasores coletam credenciais de login e informações pessoais usando páginas de login habilmente disfarçadas. As páginas podem conter Trojans, keyloggers e outros scripts maliciosos que roubam informações pessoais.

Redirecionamentos de site

O site redireciona os usuários para URLs diferentes daqueles que o usuário pretendia visitar. Os atores que exploram as vulnerabilidades podem inserir redirecionamentos e instalar malware nos computadores dos usuários.

Typosquattage

Typosquatting direciona o tráfego para sites falsificados que usam ortografia em idioma estrangeiro, erros ortográficos comuns ou variações sutis de domínio de nível superior. Os golpistas de phishing usam domínios para imitar interfaces de sites legítimos, aproveitando-se dos usuários que digitam incorretamente ou leem o URL.

Anúncios pagos falsos

Anúncios pagos são outra tática usada para phishing. Esses anúncios (falsos) usam domínios que os invasores cometeram erro de digitação e pagaram para aparecer nos resultados de pesquisa. O site pode até aparecer entre os primeiros resultados de busca no Google.

Ataque por ponto de água

Em um ataque watering hole, os golpistas analisam os usuários e determinam quais sites eles visitam com frequência. Eles examinam esses sites em busca de vulnerabilidades e tentam injetar scripts maliciosos projetados para atingir os usuários na próxima vez que visitarem o site.

Roubo de identidade e competições falsas

Trata-se do roubo de identidade de personalidades influentes nas redes sociais. Os golpistas de phishing podem se passar por executivos-chave da empresa e anunciar concursos ou se envolver em outras práticas enganosas. As vítimas deste engano podem até ser visadas individualmente através de processos de engenharia social destinados a encontrar utilizadores crédulos. Os atores podem hackear contas verificadas e alterar nomes de usuário para se passar por uma pessoa real, mantendo o status de verificado.

Recentemente, os golpistas têm como alvo plataformas como Discord, X e Telegram com o mesmo propósito: falsificar bate-papos, personificar indivíduos e imitar serviços legítimos.

Aplicativos maliciosos

Os golpistas de phishing também podem usar aplicativos maliciosos que monitoram seu comportamento ou roubam informações confidenciais. Os aplicativos podem se apresentar como rastreadores de preços, carteiras e outras ferramentas relacionadas a criptomoedas (que possuem uma base de usuários predisposta a negociar e possuir criptomoedas).

SMS e phishing vocal

Uma forma de phishing de mensagens, geralmente via SMS ou correio de voz, que incentiva os usuários a compartilhar informações pessoais.

Phishing vs. Pharming

Embora alguns considerem o pharming (sequestro de domínio) um tipo de ataque de phishing, o primeiro depende de um mecanismo diferente. A principal diferença entre phishing e pharming é que o phishing exige que a vítima cometa um erro. Por outro lado, o sequestro de domínio exige apenas que a vítima tente acessar um site legítimo cujo registro DNS tenha sido comprometido pelo invasor.

Phishing no blockchain e no espaço criptográfico

Embora a tecnologia blockchain ofereça maior segurança de dados devido à sua natureza descentralizada, seus usuários devem permanecer vigilantes contra engenharia social e tentativas de phishing. Os cibercriminosos muitas vezes tentam explorar vulnerabilidades humanas para obter acesso a chaves privadas ou credenciais de login. Na maioria dos casos, os golpes são baseados em erro humano.

Os golpistas também podem tentar enganar os usuários para que revelem suas frases de recuperação ou transfiram fundos para endereços falsos. É importante ter cautela e seguir boas práticas de segurança.

Conclusão

Concluindo, é essencial compreender o phishing e manter-se atualizado com a evolução das técnicas para proteger informações pessoais e financeiras. Ao combinar medidas robustas de segurança, educação e sensibilização, indivíduos e organizações podem fortalecer-se contra a ameaça sempre presente do phishing no nosso mundo digital interligado. Fique SEGURO!

Para maiores informações

  • Cinco dicas para proteger seus ativos em criptomoedas

  • 5 maneiras de melhorar a segurança da sua conta Binance

  • Como se manter seguro na negociação ponto a ponto (P2P)?

Isenção de responsabilidade e aviso de risco: Este conteúdo é apresentado a você “como está” apenas para fins informativos gerais e educacionais, sem representação ou garantia de qualquer tipo. Não deve ser interpretado como aconselhamento financeiro, jurídico ou profissional, nem como meio de recomendar a compra de qualquer produto ou serviço específico. Você deve procurar aconselhamento de profissionais apropriados antes de tomar qualquer decisão. Quando o artigo foi escrito por um colaborador terceirizado, observe que as opiniões contidas no artigo não refletem necessariamente as da Binance Academy. Por favor, leia nosso aviso completo aqui para saber mais. Os preços dos ativos digitais podem ser voláteis. O valor do seu investimento pode diminuir ou aumentar e você pode não recuperar o valor investido. Você é o único responsável por suas decisões de investimento e a Binance Academy não é responsável por quaisquer perdas que você possa incorrer. Este conteúdo não deve ser interpretado como aconselhamento financeiro, jurídico ou profissional. Para obter mais informações, consulte nossos Termos de Uso e Aviso de Risco.