Digital Fraud

Tendências de Phishings para empresas em 2019

Por Matheus Loyola em
COMPARTILHAR

Os ataques de phishing costumam ser simples, mas ao mesmo tempo perigosos: utilizando um email ou site de fachada, os cibercriminosos dão um jeito de enganar o internauta para roubar os seus dados. E isso tem dado muito certo no Brasil; afinal, o país é líder mundial em vítimas desse tipo de golpe, segundo a Kaspersky Lab.

Para 2019, a tendência é de que os ataques se tornem mais sofisticados, humanizados e abrangentes. Com isso, além de ameaçarem a segurança online de usuários comuns, os phishings estão cada vez mais voltados para outro alvo: as empresas. Lá em 2017, cerca de 76% das companhias já sofriam com esse tipo de golpe, e os números vêm subindo de forma expressiva anualmente.

Na lista abaixo, apontamos os principais ataques de phishing que devem se destacar em 2019 e as medidas básicas que você pode tomar para se proteger.

 



1 - Spear Phishing

Até 2020, a expectativa do mercado é de que cerca de 94% das empresas brasileiras utilizem serviços em nuvem, onde softwares e dados corporativos podem ser acessados de forma compartilhada com apenas um login. A comodidade e os benefícios dos serviços em cloud são essenciais para um negócio, mas também é necessário investir em segurança, pois esse tipo de tecnologia será um dos principais alvos de cibercriminosos em 2019.

De acordo com o Hoxhunt, os casos de phishing mirando em soluções de SaaS (Software as a Service) cresceram 237% no ano passado. O funcionamento do ataque é similar ao convencional: um email ou site incorpora uma instituição de confiança do usuário para tentar roubar dados; em vez de mirar em credenciais de banco, porém, os cibercriminosos querem logins de serviços como Office 365 e G Suite. Vale ressaltar que o ataque pode ser muito nocivo para a empresa; afinal, com apenas um login os hackers podem ter acesso a todos os dados disponíveis.

Como se proteger? A primeira dica é adotar mecanismos básicos de defesa, como verificação em duas etapas. Além disso, é sempre bom ficar ligado e não inserir dados sensíveis como login e senha em páginas suspeitas.

 

2 - Phishing com chat em tempo real

Outro golpe de phishing que mira em empresas e está crescendo é o Business Email Compromise (BEC), modalidade que não utiliza emails prontos, sites falsos com campos para os dados serem inseridos ou botões clicáveis. Toda a ação ocorre em tempo real.

Os cibercriminosos incorporam uma pessoa do mundo corporativo ou de um cargo próximo da vítima, como colega de trabalho ou chefe, e começam a enviar emails, como se fosse uma conversa normal. Esse tipo de ataque visa roubar informações mais específicas, que normalmente são cedidas durante o bate-papo, após o criminoso ganhar a confiança de seu alvo. Em 2018, os ataques de BEC causaram um prejuízo de USD 12 bilhões mundialmente e tiveram um crescimento de 55% em relação ao ano anterior.

Nesse mesmo estilo, outro esquema que cresceu 45% nos Estados Unidos no ano passado foram os phishings via ligação telefônica. Por meio de um bot que conversa em tempo real, os cibercriminosos usam o nome de bancos e operadoras para obter os dados das vítimas.

Como se proteger? Apesar de as mensagens enviadas nesse tipo de golpe serem personalizadas para a vítima, um jeito simples de desmascarar a fraude é verificar as credenciais da pessoa que está conversando com você, checando se o email ou número que ligou é genuíno. Outra forma é tentar confirmar a identidade do interlocutor: se o nome do seu chefe está sendo usado no golpe BEC, entre em contato com ele pessoalmente ou por outro canal de comunicação antes de enviar seus dados na conversa suspeita.

 

3 - Sites com HTTPS

Os ataques de phishing mais tradicionais, que criam sites falsos para roubar informações, devem utilizar como arma em 2019 uma medida de segurança: o HTTPS. Desde o ano passado, o Google começou a indicar os sites com o cadeado verde ao lado do endereço como "conexões seguras", mas isso só garante que a troca de dados com o domínio é encriptada.

 

4 - Iscas em redes sociais

Além dos emails e sites, outro meio que deve ser usado cada vez mais para phishing são aplicativos de mensagem, desde redes sociais como Facebook até apps de comunicação como Skype e WhatsApp.

Os esquemas em redes sociais variam e podem acontecer por meio de mensagens de bots, contas falsas e até anúncios falsos que aparecem no feed do usuário. Segundo o Phishlabs, o número de ataques via canais sociais triplicou no último ano, e o crescimento é tão grande que alguns especialistas acreditam que esses meios podem superar os emails futuramente.

Nesse ambiente, o primeiro passo para se proteger é desconfiar de bots e contas que peçam informações confidenciais. No caso de anúncios, a dica é investigar a empresa que está promovendo as publicações antes de entregar quaisquer dados. O Facebook, por exemplo, conta com um botão que mostra mais detalhes sobre os ads que aparecem para o usuário.

 

Como proteger sua empresa?

A Axur conta com a solução Digital Fraud Discovery, onde monitoramos sua marca para identificar e remover sites que possam hospedar phishings que podem prejudicar seus clientes e o relacionamento deles com sua marca. Gostaria de saber mais? Clique aqui e solicite uma demonstração da nossa plataforma de monitoramento Axur One.

event-image

ESPECIALISTA CONVIDADO

Eduardo Schultze, Coordenador do CSIRT da Axur, formado em Segurança da Informação pela UNISINOS – Universidade do Vale do Rio dos Sinos. Trabalha desde 2010 com fraudes envolvendo o mercado brasileiro, principalmente Phishing e Malware

AUTOR

Matheus Loyola

Mineiro se aventurando por São Paulo, formado em Produção Audioviosual e pós-graduado em Marketing, de fotógrafo e produtor freelancer à Analista de Marketing & Vendas pela Axur. Atualmente se metendo a redator por essas bandas.