Digital Fraud, Data Leakage

Phishing: o guia completo para proteger seus clientes

Por The Hack em
COMPARTILHAR

O submundo das ameaças digitais não para de crescer. Basta ler as notícias para perceber que, todos os dias, um novo tipo de golpe é criado ou um malware inédito passa a circular pela internet. Porém, o phishing continua sendo um dos principais responsáveis pela maioria dos incidentes cibernéticos, seja dentro ou fora das empresas. Afinal, ele foi feito para atacar o elo mais fraco da cadeia de segurança: o ser humano.

E é exatamente por esse motivo que o phishing se mantém no topo das preocupações corporativas quando o assunto é segurança digital. Além de ser eficaz no ponto de vista do criminoso, ele é capaz de causar altíssimos prejuízos financeiros e danos irreversíveis à imagem da empresa. Basta dizer que, de acordo com o relatório 2019 Verizon Data Breach Investigations Report, o phishing foi o responsável por 1/3 dos vazamentos de dados ocorridos em 2018.

Porém, o que muitos se esquecem é de observar o outro lado da moeda. Essa prática criminosa pode trazer não apenas danos financeiros ao atacar seu ambiente corporativo, mas também danificar a imagem de sua marca ao lesar o seu público consumidor. Afinal, como garantir que seus clientes não sejam enganados por estelionatários tentando se passar pela sua empresa? Como garantir que eles não acessem uma versão falsa de seu site e entreguem informações sensíveis aos criminosos?

 

A origem da “pescaria”


O phishing nasceu na década de 90 e o termo foi criado por criminosos que, naquela época, utilizavam uma ferramenta conhecida como AOHell para roubar credenciais de usuários da America Online (AOL). Essas contas – que quase sempre vinham acompanhadas de números de cartões de crédito – eram posteriormente negociadas e trocadas por softwares de hacking ou programas pirateados.

Usando a AOHell, os golpistas se passavam por funcionários da AOL e pediam as senhas das vítimas, geralmente sob o pretexto de “verificar a sua conta” ou “atualizar informações de cobrança”. Visto que tais armadilhas não eram comuns naquela época, os criminosos invariavelmente tinham sucesso.

A “moda” pegou e muitos criminosos começaram a usar a técnica fora da AOL para obter informações preciosas e lesar internautas desavisados. Hoje, o phishing já é um dos maiores problemas para o mercado global de segurança digital – ao longo de 2018, foram registradas mais de 1 milhão de notificações de e-mails ou mensagens com conteúdo malicioso ao redor do mundo inteiro.

 

Truques de phishing velhos, mas eficazes


A primeira coisa que devemos entender é que, embora o phishing tenha evoluído bastante ao longo dos últimos anos, esse tipo de golpe continua sendo facilmente reconhecível através de algumas características básicas:

Possui erros

Cibercriminosos não são redatores, designers ou publicitários. Como resultado, é natural que páginas falsas ou e-mails maliciosos tenham erros gráficos e gramaticais que denunciem a sua verdadeira natureza.


Possui senso de urgência

O golpista não quer que a vítima pense muito antes de baixar um arquivo ou clicar em um link. Sendo assim, ele vai persuadir o alvo a fazê-lo o mais rápido possível, alegando um prazo para que uma situação seja resolvida ou algo do tipo.


Possui um tom ameaçador

Para dar ênfase na agilidade, e-mails de phishing costumam pegar no ponto fraco dos consumidores e ameaçá-los com alguma consequência negativa.

Como um exemplo que engloba todas essas características, podemos imaginar uma falsa notificação de um banco que lhe incentiva a visitar uma página falsa sob o pretexto de atualizar seus dados cadastrais. Nesse caso, o criminoso provavelmente dirá ao internauta que ele deve concluir essa tarefa dentro de poucas horas ou sua conta será sumariamente encerrada.

Não podemos nos esquecer também dos golpes que convencem as vítimas pelo fator financeiro. No caso de lojas virtuais e e-commerce, por exemplo, é muito comum que os criminosos elaborem um falso e-mail marketing alegando alguma promoção imperdível – então roubando o número de seu cartão de crédito enquanto você simula a compra de um produto.

 

Várias formas de enganar


Existem várias maneiras pelas quais um criminoso pode abusar da sua marca para atingir os seus clientes. Uma das mais comuns é conhecida como cybersquatting – a prática de registrar um domínio similar ao seu. Ela é feita utilizando homoglifos, caracteres repetidos, transposições ou domínios diferentes do endereço original. Ao registrar uma URL maliciosa, o golpista pode enviar e-mails que se pareçam com os seus e hospedar um site falso, aguardando até que algum consumidor caia no truque.

Outro problema muito comum é a questão dos perfis falsos nas redes sociais. A arquitetura dessas plataformas – Facebook, Twitter, Instagram etc. – facilita muito a vida de qualquer criminoso interessado em simular uma página falsa da sua marca e enganar internautas desavisados, promovendo falsas promoções e espalhando links maliciosos. Não é à toa que o Facebook já removeu 2,2 bilhões de contas falsas só durante o primeiro trimestre de 2019.

 

Como evitar?


Estamos falando aqui do princípio de reputação de marca. Permitir que seus clientes sejam vítimas de phishing é algo que afeta a sua presença digital, danificando a sua imagem perante seu público-alvo. Páginas falsas, domínios similares, perfis fakes em redes sociais e e-mails maliciosos disparados em seu nome podem diminuir a credibilidade de sua empresa no mercado, gerando uma sensação de desconfiança generalizada.

The-Hack-Axur-Inforgráfico-12

Eis a importância de apostar no monitoramento de sua marca. Usando soluções específicas para tais finalidades, como o Digital Fraud Discovery, é possível ser notificado sempre que alguém utiliza alguma propriedade intelectual sua de maneira inapropriada – o que inclui até mesmo citações em redes sociais. Dessa forma, fica mais fácil identificar campanhas maliciosas e ordenar a remoção de conteúdos potencialmente fraudulentos antes mesmo que eles tenham a chance de atingir algum internauta.

Também é crucial manter um bom plano de educação e comunicação com a clientela, notificando seu público sempre que for necessário. Identificou uma série de golpes via SMS? Avise-os que a sua empresa não pede verificação de senhas através desse método e aconselhe-os a ignorar tais mensagens, por exemplo. O importante é mostrar ao mercado que a sua marca se preocupa com a segurança dos internautas – o que, inevitavelmente, também fará com que você ganhe a confiança deles.

event-image

ESPECIALISTA CONVIDADO

Eduardo Schultze, Coordenador do CSIRT da Axur, formado em Segurança da Informação pela UNISINOS – Universidade do Vale do Rio dos Sinos. Trabalha desde 2010 com fraudes envolvendo o mercado brasileiro, principalmente Phishing e Malware

AUTOR

The Hack

Somos jornalistas, mas também somos hackers — procuramos resolver problemas ao analisá-los de forma criativa e inventando maneiras inusitadas de usar as ferramentas que temos à nossa disposição.