Morando com o inimigo

Nenhuma empresa está totalmente segura de ataques virtuais. Basta um ponto fraco e toda a rede fica comprometida. Contando com essa característica dos sistemas corporativos, os golpistas tentam fazer com que um colaborador da empresa instale sem saber um programa que dá ao criminoso acesso a informações sigilosas da companhia. No caso da loja virtual, o dado desejado são as informações pessoais e financeiras dos clientes.

O phishing tem sido o golpe mais eficaz para capturar a vítima. O fraudador envia ao funcionário um e-mail falso para se passar por empresa famosa ou pessoa confiável, induzindo-o a clicar num link da mensagem. Ao clicar nesse link, ele instala um malware que dá ao golpista acesso não apenas à maquina do usuário, mas a toda a rede.

O Brasil é o campeão mundial de phishing, uma marca para ninguém se orgulhar. Segundo estudo da empresa russa de cibersegurança Kaspersky, 1 em cada 6 pessoas no Brasil foi vítima de phishing em 2017. Com isso, o país colocou a China na segunda posição do ranking, com Austrália, Nova Zelândia e Azerbaijão completando as cinco primeiras colocações.

Dos usuários corporativos, de acordo com relatório da empresa de antivirus McAfee, 80% dsão enganados por e-mails de phishing. E a ameaça faz tanto estrago que o país é responsável por 52% dos US$ 434,1 milhões investidos em segurança de sistemas na América Latina.

O que fazer?

Ter uma política interna de segurança de dados bem definida é o primeiro passo para proteger a rede desse tipo de golpe. Convoque os funcionarios da empresa e passe uma lista de recomendações sobre os golpes mais comuns e sobre o phishing. Explique como eles podem identificar um e-mail falso, cujo objetivo é capturar informações do usuário para roubar dados. Conhecendo os perigos, fica mais difícil correr riscos.

Tipos de phishing

Existem cinco tipos de phishing que podem afetar o seu e-commerce:

Phishing tradicional – Utiliza a cópia de um site conhecido pela vítima e usa um endereço muito semelhante para onde a vítima é direcionada e para inserir seus dados, que serão enviados para o golpista.

Phishing redirecionador – Esse golpe utiliza dois ou mais sites ou domínios para enganar a vítima e é utilizado em campanhas massivas. Para que a vítima não perceba o endereço falso e as equipe de segurança gastem mais tempo na tentativa de detectar e eliminar o conteúdo dos sites falsos , o golpista usa encurtadores de URL, injeção de Iframes e exploração de técnicas relacionadas com os frames no código html.

Spear phishing – Menos é mais. Esse poderia ser o lema desse tipo de phishing, pois ele é direcionado a poucas pessoas ou a grupos reduzidos (pessoas com um determinado perfil), com mensagens personalizadas (nome e sobrenome). Com isso, o percentual de vítimas é maior. As mensagens falsificam endereços conhecidos para gerar maior confiança da vitima.

O golpista que utiliza esse tipo de phishing escolhe o elo mais fraco da rede corporativa, aquele usuário que não tem tanto conhecimento écnico e que, portanto, não consegue identificar o golpe.

Smishing SMS – Esse tipo de phishing encontrou na popularidade dos smartphones o ambiente ideal para se espalhar. Se passando por empresas conhecidas, os fraudadores enviam mensagens de texto avisando a vítima que ela ganhou um prêmio. Para ter acesso ao tal prêmio, ela tem que responder àquele SMS com algum tipo de código ou número especial ou com a confirmação de dados pessoais ou então ligar para uma central telefônica (também falsa).

Vishing – Esse golpe é usado como complemento do Smishing SMS e envolve a criação da central telefônica falsa. Quando essa central é acionada, o atendente, muito educado e profissional, pede o código informado por SMS para saber qual vítima está ligando. E a partir daí vai fazendo perguntas até obter dados de contas bancárias e de cartão de crédito.

Como identificar e prevenir

É possível identificar o phishing e todas as suas variações seguindo alguns cuidados com relação aos e-mails. Leia com atenção e oriente seus colaboradores.

• Desconfie se receber e-mails de fornecedores (serviços ou produtos) iniciando com “Estimado cliente”. Fraudadores que usam phishing personalizam o e-mail para fingir que conhecem o destinatário;
• Delete sem dó caso a mensagem personalizada traga um número de referência sem significado e que não seja possível verificar;
• Mesmo que a mensagem inclua dados pessoais, não é prova de que seja verdadeira. Entre em contato diretamente com o fornecedor para verificar a veracidade da mensagem, mas lembre-se: não use o número de telefone indicado no e-mail;
• Não inicie uma sessão em qualquer site cujo link foi enviado por e-mail. Ao clicar você pode instalar um malware no computador e abrir a porta para o bandido;
• Recebeu um e-mail com um link para um arquivo não solicitado, ainda que seja de amigos ou de empresas de confiança? Ignore;
• Caso tenha recebido um e-mail suspeito de alguém conhecido, entre em contato com o remetente (ligue, mande SMS, Whatsapp, mensagem por Facebook, por uma nova mensagem de e-mail, e não uma resposta ao e-mail recebido) para checar a veracidade da mensagem;
• Está em dúvida em relação ao link? Passe o mouse sobre ele para ver que endereço mostra;
• Cuidado com links encurtados. Eles não dão a menor pista de para onde o estão levando;
• O e-mail recebido diz que você tem um prazo limitado (em geral muito curto) para fazer alterações necessárias em uma conta? Não entre em pânico. A maioria das empresas não tem tanta pressa para perder um bom cliente. Até mesmo empresas de cobranças oferecem prazos mais elásticos – e, geralmente, por telefone.
• Não clique em qualquer link só porque tem um antivírus instalado na máquina. Muitas vezes, o software não consegue detectar todos os códigos e sites maliciosos;
• Não se fie nas aparências da mensagem. Pode ser bonitinha, mas ordinária;
• Não se engane. O phishing não vem só por e-mail. Pode vir por mensagens SMS, por Whatsapp e pelas redes sociais também.