Total Pageviews

Blog Archive

Procura neste Blog

ITO-NeTthings. Com tecnologia do Blogger.

Blogs de Portugal

Os ataques de "phishing" estão cada vez mais sofisticados - Cinco dicas da WhiteHat para se proteger

Os ataques de "phishing" estão cada vez mais sofisticados - Cinco dicas da WhiteHat para se proteger
Share it:
Alguns dos maiores e mais bem-sucedidos ciberataques de sempre a instituições e empresas não foram fruto de sofisticados vírus ou de modernas ferramentas de cibercrime, mas de um conjunto de técnicas designadas por “engenharia social” e que acabam por contar com a ajuda involuntária do elo mais fraco em qualquer rede informática: o utilizador.
Os ataques de "phishing" estão cada vez mais sofisticados - Cinco dicas da WhiteHat para se proteger
Neste contexto, o chamado “phishing” desempenha um papel importante, daí ser crucial estarmos despertos para este tipo de ataque, de maneira a podermos facilmente identificá-lo e, dessa forma, evitá-lo.

O termo “phishing” apareceu pela primeira vez em meados dos anos 90 e estava focado originalmente numa ferramenta chamada AOHell, que automatizava este tipo de ataques a clientes do serviço de acesso à Internet America OnLine. Depois da AOL se prevenir contra estes ataques, em 1997, os cibercriminosos perceberam que não podiam continuar a utilizar a mesma técnica noutros serviços desta empresa e começaram a fazer-se passar por instituições financeiras.

Se já recebeu um e-mail, SMS (neste caso, chamamos a isto “smishing”!) ou outra forma de comunicação eletrónica que parece ser enviada por uma instituição bancária, empresa ou outro serviço online a confirmar as suas credenciais de conta, então já sabe o que é um ataque de “phishing”.

O “phishing” consiste numa série de técnicas utilizadas para obter dados valiosos dos utilizadores, que podem depois ser vendidos ou mal utilizados por criminosos para os mais variados propósitos – como extorsão ou roubo de identidade – mas também podem ser usados de forma a obter credenciais de acesso para a penetração não autorizada em sistemas informáticos.

Em Portugal, o “phishing” começou por tomar formas facilmente identificáveis, designadamente pelas suas origens anglo-saxónicas, com emails e mensagens em inglês e, mais tarde, em português pouco correto, claramente gerado através de sistemas de tradução automática. No entanto, têm aumentado de forma exponencial ataques mais sofisticados e talhados especificamente para os utilizadores portugueses.

Estes são ataques que tanto podem sugerir que o destinatário da mensagem ganhou um prémio que será entregue por uma grande e conhecida empresa de retalho portuguesa, como podem imitar emails “oficiais” de entidades bancárias, empresas de correios e/ou transportes e até da Autoridade Tributária.

Quando tem como objetivo burlar o utilizador final, o “phishing” é grave, mas o âmbito do seu dano acaba por ser restrito. No entanto, muitos destes ataques de phishing têm como alvo trabalhadores de grandes empresas e instituições, com o objetivo de obter dados e/ou credenciais para posterior acesso não autorizado à infraestrutura de TI.

Como identificar e evitar o phishing

A empresa portuguesa de cibersegurança Whitehat sugere algumas formas de identificar e evitar este tipo de ataques.

Os ataques de phishing têm aumentado em número e sofisticação nos últimos anos. Apenas a formação em segurança informática dos funcionários não é suficiente para acompanhar esses ataques. Uma segurança mais robusta, com firewalls de nível profissional, por exemplo, é essencial para garantir a proteção online nos dias que correm.

Uma tática é a falsificação de domínio: usar um nome de domínio de Internet que possa ser facilmente confundido com um site legítimo para induzir os utilizadores a confiar no seu conteúdo (malicioso). Até o SSL foi usado para hospedar sites de phishing habilmente disfarçados para atrair vítimas.

Siga estes cinco conselhos para evitar ser a próxima vítima de phishing:

Sensatez e inteligência

É possível reduzir significativamente a hipótese de cair vítima de ataques de phishing sendo apenas sensato e inteligente enquanto navega online e verifica os seus emails. Por exemplo, evite clicar em links, descarregar ficheiros ou abrir anexos em e-mails (ou em redes sociais), mesmo que pareça ser de uma fonte conhecida e de confiança.

Nunca deve clicar em ligações de um e-mail para um website, a menos que tenha a certeza absoluta de que é autêntico. Se tiver alguma dúvida, deve abrir uma nova janela do navegador e digitar o URL na barra de endereços.

Tenha também cuidado com as mensagens de correio eletrónico que solicitem informações confidenciais – especialmente se pedir dados pessoais ou informações bancárias. As organizações legítimas, incluindo (e especialmente) o seu banco, nunca solicitarão informações sensíveis através de correio eletrónico.

Cuidado com os links abreviados

Deve prestar-se especial atenção às ligações encurtadas, especialmente nas redes sociais. Os cibercriminosos utilizam frequentemente o Bit.ly e outros serviços de encurtamento de links para levar a vítima a pensar que está a clicar num link legítimo, quando na realidade está a ser inadvertidamente direcionada para um site falso.

Deve sempre colocar o seu rato sobre uma ligação web num e-mail (sem clicar!) para ver se está realmente a ser enviado para o site certo – ou seja, certificar-se de o que aparece no texto do e-mail é o mesmo que vê quando passa o rato por cima.

Os criminosos informáticos podem utilizar estes sites falsos para roubar os seus dados pessoais introduzidos ou para realizar um ataque drive-by-download, infestando assim o seu dispositivo com malware.

Será que o e-mail é suspeito? Leia-o novamente

Muitos e-mails de phishing são bastante óbvios. Serão pontuados com muitos erros de digitação, palavras em maiúsculas e pontos de exclamação. Podem também ter uma saudação impessoal – pense nas saudações como “Caro Cliente” ou “Caro Senhor/Senhora” em vez do seu nome – ou apresentar um conteúdo implausível e geralmente surpreendente.

Os cibercriminosos cometerão frequentemente erros nestes emails... por vezes até intencionalmente, para ultrapassar filtros de spam, melhorar as respostas e eliminar os destinatários “inteligentes” que não cairão no golpe.

Desconfie de ameaças e prazos urgentes

Por vezes, uma empresa de renome precisa que se faça algo urgentemente. Por exemplo, em 2014, o eBay pediu aos seus clientes que alterassem rapidamente as suas palavras-passe após a violação dos seus dados.

Contudo, esta é uma exceção à regra; normalmente, as ameaças e a urgência – especialmente se vindas do que afirma ser uma empresa legítima – são um sinal de alarme.

Algumas destas ameaças podem incluir avisos sobre uma multa, ou aconselhá-lo a fazer algo para impedir que a sua conta seja encerrada. Ignore as táticas de assustar e contacte a empresa separadamente através de um canal conhecido e de confiança (telefone ou email).

Navegue com segurança através de HTTPS

Deve sempre utilizar um website seguro (indicado por https:// e um ícone de "bloqueio" de segurança na barra de endereços do navegador) para navegar, e especialmente ao submeter informações sensíveis em linha, tais como detalhes de cartão de crédito.

Nunca deverá utilizar Wi-Fi público, sem segurança, para efetuar operações bancárias, compras ou introduzir informações pessoais online (a conveniência não deve ser um trunfo para a segurança). Em caso de dúvida, utilize a ligação celular do seu telemóvel.Mais informação: https://www.whitehat.pt/phishing
Share it:

info

Post A Comment:

0 comments: