Para uma melhor experiência neste site, utilize um navegador mais moderno. Clique nas opções abaixo para ir à página de download
Indicamos essas 4 opções:

Ok, estou ciente e quero continuar usando um navegador inferior.

Blog

E-mail corporativo

Phishing e smishing: o que são e como se proteger? 

23 de janeiro de 2024

Você já deve ter ouvido falar nos termos Phishing e smishing, mas você sabe o que eles realmente são, como funcionam e qual é a melhor maneira de evitá-los? Em outro artigo abordamos como o e-mail pode representar riscos para as empresas. 

Neste artigo, vamos entender melhor o que são e como funcionam essas ameaças, além de estratégias de proteção. 

Certamente, o Phishing e smishing são ataques baseados em engenharia social que induzem os usuários a compartilharem informações pessoais confidenciais, como nomes de usuário, senhas e detalhes de cartão de crédito. Ambos os métodos são perigosos e possuem suas especificidades. 

Phishing 

O phishing existe desde a década de 1990, mas continua forte ainda hoje. Recentemente estudos da O IBM Security X-Force, relatou que o phishing foi o principal método de comprometimento de dados em 2021. 

Aliás, a técnica de phishing é uma das mais comuns atualmente e visa é enviar um e-mail fraudulento para uma empresa ou usuário. O e-mail geralmente é feito para parecer confiável e, muitas vezes, urgente.  

Normalmente, os e-mails conterão um link alterado que direciona o usuário para um site que parece real. Mas, na realidade, é um site forjado, projetado para manipular o usuário a digitar seu nome e senha. Caso haja essa ação, o invasor passa a ter as credenciais para acesso.  

E dependendo do site, isso se transforma em perda imediata de informações ou dinheiro para a empresa. Além disso, existem casos em que o e-mail de phishing não terá um link, mas sim um anexo malicioso com ransomware projetados para se instalarem na máquina.   

Portanto, a chave para um ataque de phishing com êxito é fazer com que os e-mails pareçam ter vindo de fontes confiáveis. Assim, os invasores de phishing frequentemente usam marcas confiáveis como: 

  • Microsoft 
  • Apple  
  • Google 
  • Chase  
  • Amazon 

Sobretudo, a linha de assunto de e-mails de phishing geralmente tem um estilo. Toda as vezes em que o assunto de e-mail for: “Sua conta será bloqueada” “Importante: faça login em sua conta para verificar suas informações” e “Fatura vencida” é possível que seja um e-mail phising. Verifique como eles parecem urgentes ou importantes o suficiente para não serem ignorados.  

Smishing 

O smishing é uma variedade de phishing que personaliza ataques para usuários específicos, visando que a ilusão da familiaridade, crie confiança. Similarmente, o smishing tem características do phishing, mas em vez de utilizar e-mails falsos, os invasores enviam SMS.  

Os SMS mais comuns geralmente se fazem passar pelo banco com uma mensagem urgente informando que a conta da pessoa foi bloqueada devido a atividades suspeitas ou que recentemente foi feito um pagamento e o banco precisa de uma confirmação.  

Tem o mesmo sentido de urgência, mas como se trata de um SMS é algo mais pessoal do que corporativo. Nestes tipos de SMS também contém links para sites maliciosos, mas esse é projetado para roubar os dados financeiros ou credenciais bancárias.  

Entretanto, os golpes de smishing também incluem mensagens de texto com temas de ganho de prêmio, do qual o usuário deve resgatar por meio de um site. Outra forma de smishing inclui mensagens de texto personificando alguém do trabalho, como chefes ou o CEOs e figuras de autoridade da empresa.  

Em resumo, os ataques de phishing e smishing são baratos, simples e eficazes, e são muito parecidos, devido a isso, é certo esperar que esses tipos de ameaças continuem entre os ataques mais comuns no cenário de perigos à cibersegurança. 

Como se proteger de um ataque phishing? 

Felizmente, existem maneiras simples de se proteger contra-ataques como estes, veja 5 formas de se proteger: 

  • 1 – Filtragem de e-mail: Primeiro, implemente controles de filtragem de e-mail. Com bloqueio de e-mails suspeitos pelo usuário ou por lista de bloqueio nos servidores de e-mails, e também por soluções anti-phishing. 
  • 2 – Bloqueio de acesso a sites maliciosos: Outra forma de proteção contra phishing é bloquear o acesso a sites fraudulentos e maliciosos. O usuário, pode ter esse controle com navegadores de aviso de site fraudulento ou a empresa pode instalar soluções seguras, com firewalls ou servidores proxy. 
  • 3 – Gerenciador de senhas: A terceira medida trata-se de um cofre digital que pode gerar e armazenar senhas fortes e exclusivas para qualquer site. Dessa forma, o usuário não reutiliza as mesmas senhas sempre, ou seja, mesmo que a senha fique comprometida em um ataque de phishing, ela não funcionará em outro lugar.  
  • 4 – Autenticação multifator: A quarta medida é uma forma mais forte de autenticação do que usar apenas senhas. Ela requer a senha e um dispositivo do usuário ou um fator biométrico, como a impressão digital. Assim, mesmo que o invasor obtenha o nome de usuário e senha, ele não poderá fazer login sem o outro fator.  
  • 5 – Treinamento de segurança: Por fim, ensine os usuários a reconhecerem ataques de phishing. Explique por que eles devem suspeitar de e-mails urgentes e realize simulações de phishing para testar quantos usuários podem cair em um ataque real.  

Como se proteger de um ataque smishing? 

Quanto ao smishing, a melhor forma de se proteger é com o treinamento de segurança. Treine os usuários para identificar mensagens de texto suspeitas, nunca clicar em links, responder a mensagens suspeitas, enviar dinheiro ou fazer compras com base em mensagens de texto sem confirmar por outro método, como um telefonema direto para uma pessoa ou a empresa.  

Verifique também se os smartphones da empresa têm opções de configuração para filtragem ou bloqueio de mensagens de remetentes desconhecidos. 

Inegavelmente, o phishing e smishing é uma das formas mais comuns e perigosas de ataques no cenário de ameaças à segurança cibernética. Mas existem muitas medidas que a empresa pode tomar para reduzir sua exposição à essas ameaças. É necessário um gerenciamento e treinamento maior perante os funcionários e e-mails da empresa. 

A Box Tecnologia é especialista em segurança e tem várias soluções para impedir esse tipo de ataque, clique no link e saiba mais

Compartilhe este artigo: