Ataques de phishing são frequentes no período, colocando dados sigilosos de pessoas e empresas em risco
Veja como se prevenir
Não é de hoje que durante a Black Friday os ataques cibernéticos tem se tornado uma prática cada vez mais comum e bastante frequente. O email ainda é o alvo predileto dos atacantes que, por meio do phishing, induzem os usuários a clicarem em links de sites clonados ou a executarem programas maliciosos com o intuito de roubar dados confidenciais — contas bancárias, logins e senha de e-commerces, redes sociais, entre outros.
A mensagem costuma imitar muito bem a comunicação de instituições, com reprodução de logotipos e até endereço do remetente, onde é solicitada uma ação do usuário para atualização de dados cadastrais em um site falso ou por meio de um arquivo anexado, em tom de alerta que estimula uma reação rápida.
Embora 89% das empresas estejam melhores preparadas para lidar com ataques, segundo o Relatório Global de Tendências e Ameaças de Segurança Digital de 2019 da KnowBe4, 76% delas ainda dizem que a maior e mais persistente ameaça vem do “inimigo interno” — usuários descuidados que clicam regularmente em links suspeitos e esquemas fraudulentos de engenharia social. O estudo envolveu 600 organizações de todo o mundo.
Em 2018, abordando o tema da Black Friday, o El Pescador lançou 11 campanhas com mais de 29 mil vítimas, obtendo cerca de 5,9 mil visualizações, 3,8 mil cliques e 845 dados coletados. Os ataques de phishing enviados seguiam a lógica de uma ação real: todos tinham o aspecto de uma propaganda de marketing com imagens e logotipo, oferecendo desconto ou benefícios de alguma forma.
Pensando em prevenir o phishing dentro das organizações, Rafael Silva, Managing Director Latam da KnowBe4, separou cinco dicas fundamentais para fugir deste tipo de risco. “É importante que todos os níveis hierárquicos dentro de uma organização saibam proteger informações, onde cada colaborador funcione como um firewall humano contra a engenharia social”, explica.
1 – Cheque todos os detalhes
É possível desmascarar e-mails fraudulentos checando todos os seus detalhes. Veja se o logotipo da instituição corresponde ao original, se a mensagem está de acordo com as que você costuma receber, se o remetente é confiável, se há possíveis erros gramaticais e, principalmente, se a solicitação faz sentido. Caso o e-mail não esteja claro, encaminhe para orientação de um superior, colega de trabalho ou pessoa mais próxima. Tente também telefonar para o remetente ou instituição responsável para questionar pedidos suspeitos.
2 – Descubra o link verdadeiro
Antes de clicar em qualquer link, principalmente aqueles reduzidos por encurtadores de URL, deixe o cursor do mouse por cima para verificar se não há um hiperlink que o redirecionará para um site malicioso. Caso tenha dúvidas, novamente, peça orientação.
3 – Vá ao site manualmente
Para atender qualquer tipo de solicitação que necessite do seu login e senha em um site, sempre prefira acessar o site manualmente. Nestes casos, o endereço precisa apresentar o certificado “HTTPS” — camada adicional de segurança que garante a autenticidade do servidor e assegura a transmissão de dados entre o usuário e o navegador de maneira criptografada, impedindo que terceiros possam visualizar todo o processo de troca de informações. Geralmente, este recurso fica indicado por um símbolo de cadeado ao lado da URL.
4 – Não execute arquivos
Nunca execute arquivos anexados ou hospedados em sites que são compartilhados em e-mails suspeitos de fraude. Esta ação pode instalar, por exemplo, um Trojan que registra batidas de tecla no computador, capturando tudo que você digita, incluindo senhas. Mais uma vez, peça orientação e cheque a demanda por telefone com a instituição representada na mensagem.
5 – Delete a mensagem sem receios
Caso nunca tenha feito contato com a empresa que, de repente, está solicitando um dado sigiloso, já é possível identificar que o e-mail é uma tentativa de phishing. Instituições bancárias, por exemplo, já deixaram claro que nunca pedem acesso ou dados de contas. Por isso, siga o protocolo de nunca compartilhar nada confidencial e apenas delete as mensagens suspeitas. Como o phishing depende da ação do usuário para consumar o golpe, basta ignorá-lo para não ter prejuízos.
Sobre o El Pescador
Fundado em 2014, o El Pescador é a primeira plataforma brasileira a realizar simulações de ataques de phishing e treinamentos para conscientização em segurança. Líder no mercado nacional em Security Awareness, o El Pescador desenvolveu uma metodologia exclusiva de ciclo educacional com conteúdo focados em phishing educativo – disponíveis em português, inglês, espanhol e francês. A partir de simulações de ataque de phishing, o El Pescador indica o nível de risco dos colaboradores e os ensina a reconhecer ameaças diante de um ataque real no ambiente corporativo. Em 2019, a empresa foi incorporada pela KnowBe4, maior plataforma de treinamento, conscientização em segurança e simulação de phishing do mundo.
Sobre a KnowBe4
A KnowBe4 é dona do KMSAT, a plataforma mais popular do mundo em treinamentos e simulações de phishing. Atualmente possui mais de 28 mil clientes em todo o planeta utilizando sua metodologia de linha de defesa. Fundada pelo especialista em segurança de dados e TI Stu Sjouwerman, a KnowBe4 ajuda as organizações a tratar o elemento humano da segurança, aumentando a conscientização sobre ransomware, fraude de CEO e outras táticas de engenharia social através de uma nova abordagem de treinamento e conscientização em segurança. Kevin Mitnick, especialista em cibersegurança reconhecido internacionalmente e Chief Hacking Officer da KnowBe4, ajudou a conceber a formação da companhia com base nas suas táticas de engenharia social bem documentadas. Sediada em Tampa Bay, na Flórida, a KnowBe4 conta com escritórios na Europa (Inglaterra, Holanda e Alemanha), Brasil, Japão, Austrália, África do Sul e Cingapura.
