Tópicos

Uma base forte: Como proteger contas e dispositivos

Phishing: Uma ameaça comum a dispositivos e contas

Última atualização: julho de 2022

O phishing é o ataque mais comum e eficaz contra organizações em todo o mundo. A técnica é usada pelos militares mais sofisticados dos estados-nação, bem como por fraudadores triviais. Para simplificar, um ataque de phishing acontece quando um adversário tenta induzi-lo a compartilhar informações que podem ser usadas contra você ou sua organização. O phishing pode acontecer por meio de e-mails, mensagens de texto/SMS (geralmente chamados de phishing por SMS ou “smishing”), aplicativos de mensagens como WhatsApp, mensagens ou postagens de mídia social ou chamadas telefônicas (geralmente chamadas de phishing de voz ou “vishing”). As mensagens de phishing podem tentar fazer com que você digite informações confidenciais (como senhas) em um site falso para obter acesso a uma conta, solicitar que você compartilhe informações privadas (como um número de cartão de crédito) por voz ou texto ou convencê-lo a baixar malware (software malicioso) que pode infectar seu dispositivo. Para um exemplo não técnico, milhões de pessoas recebem chamadas telefônicas falsas e automatizadas diariamente, com a informação de que sua conta bancária foi comprometida ou que sua identidade foi roubada – todas projetadas para enganar pessoas desprevenidas a compartilhar informações confidenciais.

 O phishing e a sociedade civil

Image of phishing email to Tibetan civil society

Ataques de phishing sofisticados e personalizados visam grupos da sociedade civil em todo o mundo diariamente.

Um exemplo de tal ataque é destacado no relatório do The Citizen Lab 2018, Espionagem com pouco orçamento: Dentro de uma operação de phishing com alvos na Comunidade Tibetana. Este ataque de phishing bastante econômico e simples, mas incrivelmente eficaz, foi direcionado a defensores dos direitos humanos tibetanos e outros ativistas. O ataque começou com um e-mail de phishing (mostrado à esquerda) de um endereço padrão do Gmail que continha apenas um link de arquivo de imagem. Quando clicado, o link direcionava o alvo a uma página falsa de login de e-mail do Google (mostrada no meio) que foi usada para roubar credenciais da conta. Se as vítimas fornecessem credenciais para a página falsa, suas contas estariam facilmente comprometidas. Depois de fornecer seu nome de usuário e senha ao site falso, as vítimas seriam redirecionadas para uma imagem (mostrada à direita) que exibe os delegados em uma reunião tibetana. A imagem foi incluída como um chamariz para fazer os alvos de phishing acreditarem que realmente acessaram sua conta real do Google e reduzir quaisquer possíveis suspeitas sobre a verdadeira natureza maliciosa do e-mail.

Como podemos identificar o phishing?

O phishing pode parecer sinistro e impossível de detectar, mas existem algumas etapas simples que todos em sua organização podem seguir para se proteger contra a maioria dos ataques. As dicas de defesa contra phishing a seguir são modificadas e estendidas a partir do guia de phishing detalhado desenvolvido pela Freedom of the Press Foundation e devem ser compartilhadas com sua organização (e outros contatos), além de integradas ao seu plano de segurança:

Às vezes, o campo “de” pode estar mentindo para você

Esteja ciente de que o campo “de” em seus e-mails pode ter sido falsificado ou forjado para enganá-lo. É comum que os phishers configurem um endereço de e-mail que se parece muito com um endereço de e-mail legítimo com o qual você está familiarizado, digitado com alguns erros para enganá-lo. Por exemplo, você pode receber um e-mail de alguém com o endereço “john@gooogle.com” em vez de “john@google.com”. Observe os Os extras em “google”. Você também pode conhecer alguém com um endereço de e-mail john@gmail.com”, mas receber um e-mail de phishing de um falsificador que configurou johm@gmail.com” – sendo que a única diferença é uma sutil mudança de letras no final. Sempre verifique se você sabe o endereço de envio de um e-mail antes de continuar. Um conceito semelhante se aplica ao phishing por meio de mensagens de texto, chamadas ou aplicativos de mensagens. Se você receber uma mensagem de um número desconhecido, pense duas vezes antes de responder ou interagir com a mensagem.

Beware of attachments

Os anexos podem conter malware e vírus, e geralmente acompanham e-mails de phishing. A melhor maneira de evitar malware de anexos é nunca os baixar. Como regra, não abra nenhum anexo imediatamente, especialmente se vierem de pessoas que você não conhece. Se possível, solicite que a pessoa que lhe enviou o documento copie e cole o texto em um e-mail ou compartilhe o documento por meio de um serviço como o Google Drive ou o Microsoft OneDrive, que realizam verificação de vírus integrada na maioria dos documentos carregados em suas plataformas. Crie uma cultura organizacional onde anexos são desencorajados.

Se você realmente precisar abrir um anexo, abra-o somente em um ambiente seguro (consulte a seção Avançado abaixo) onde o malware em potencial não pode ser implantado no seu dispositivo.

Se você usa o Gmail e recebe um anexo em determinado e-mail, ao invés de baixar e abri-lo em seu computador, basta clicar no arquivo anexado e lê-lo em “pré-visualizar” no seu navegador. Esta etapa permite que você visualize o texto e o conteúdo de um arquivo sem baixá-lo e sem permitir o carregamento de um possível malware em seu computador. É uma alternativa que funciona bem para documentos do Word, PDFs e até mesmo apresentações de slides. Se você precisar editar o documento, considere abrir o arquivo em um programa de nuvem, como o Google Drive, e convertê-lo em um Google Doc ou Google Slides.

Se você usa o Outlook, também pode visualizar anexos sem baixá-los a partir do cliente web do Outlook. Se precisar editar o anexo, considere abri-lo no OneDrive, se o recurso estiver disponível para você. Se você usa o Yahoo Mail, o mesmo conceito se aplica. Não baixe anexos, prefira visualizá-los no navegador de Internet. Não importa quais ferramentas você tem à sua disposição, a melhor abordagem é simplesmente nunca baixar anexos desconhecidos ou pouco confiáveis e, independentemente da importância de um anexo, nunca abrir algo com um tipo de arquivo você não reconhece ou não tem intenção de usar. 

Defesa contra phishing para sua organização

Se sua organização usa o Microsoft 365 corporativo para e-mail e outros aplicativos, seu administrador de domínio deve configurar a política de anexos seguros para se proteger contra anexos perigosos. Se estiver usando o Google Workspace empresarial (anteriormente conhecido como GSuite), há uma opção igualmente eficaz que seu administrador deve configurar chamada Google Security Sandbox. Usuários individuais mais avançados podem considerar a configuração de programas sofisticados de sandbox, como Dangerzone, ou, para aqueles com a versão Pro ou Enterprise do Windows 10, há o Windows Sandbox.

Outra opção avançada que pode ser implementada em toda a sua organização é um serviço de filtragem de sistema de nomes de domínio (DNS) seguro. As organizações podem usar essa tecnologia para impedir que a equipe acesse ou interaja acidentalmente com conteúdo malicioso, fornecendo uma camada adicional de proteção contra phishing. Novos serviços, como o Gateway da Couldflare fornecem esses recursos para organizações sem exigir grandes somas de dinheiro (o Gateway, por exemplo, é gratuito para até 50 usuários). Ferramentas gratuitas adicionais, incluindo Quad9 do kit de ferramentas da Global Cyber Alliance, ajudam a impedir que você acesse sites conhecidos que contenham vírus ou outros malwares e possam ser implementados em menos de cinco minutos.

Clique com cautela

Desconfie de links em e-mails ou outras mensagens de texto. Os links podem estar disfarçados para baixar arquivos maliciosos ou direcioná-lo a sites falsos que podem solicitar o fornecimento de senhas ou outras informações confidenciais. Quando estiver em um computador, há um truque simples para garantir que um link em um e-mail ou mensagem realmente o direcione para onde deveria: Use o mouse para passar o cursor sobre qualquer link antes de clicar e, em seguida, olhe na parte inferior da janela do navegador para conferir o URL real (veja a imagem abaixo).

Outlook inbox photo

É mais difícil verificar links em um e-mail no dispositivo móvel sem clicar neles acidentalmente, portanto, tenha cuidado. Na maioria dos smartphones, você pode verificar o destino de um link ao pressionar por bastante tempo (mantendo pressionado) um link até que o URL completo apareça.

Em phishing via SMS e aplicativos de mensagens, links encurtados são uma prática muito comum usada para disfarçar o destino de um URL. Se você vir um link curto (por exemplo, bit.ly ou tinyurl.com) em vez do URL completo, não clique nele. Se o link for importante, copie-o em um expansor de URL, como https://www.expandurl.net/, para ver o destino real do URL encurtado. Além disso, não clique em links para sites que você não conhece. Em caso de dúvida, faça uma busca pelo site, com o nome do site entre aspas (ex: “www.badwebsite.com”) para ver se é um site legítimo. Você também pode executar links potencialmente suspeitos por meio do verificador de URL VirusTotal. Esta não é uma opção 100% precisa, mas é uma boa precaução a ser tomada.

Por fim, se você clicar em qualquer link de uma mensagem e for solicitado a fazer login em algo, não o faça a menos que tenha 100% de certeza de que o e-mail é legítimo e o direciona para o site correto. Muitos ataques de phishing fornecem links que o direcionam a páginas de login falsas do Gmail, Facebook ou outros sites populares. Não caia nesse golpe. Sempre há a opção de abrir um novo navegador e acessar diretamente sites como Gmail.com, Facebook.com etc., se quiser ou precisar fazer login. Assim, você também será direcionado ao conteúdo com segurança – se ele for legítimo, para começar.

O que devemos fazer quando recebemos uma mensagem de phishing?

Se alguém em sua organização receber um anexo, link, imagem ou mensagem não solicitada ou chamada suspeita, é importante que informe imediatamente o responsável pela segurança de TI da sua organização. Se não houver um indivíduo nessa função, a identificação deverá ser feita como parte do desenvolvimento de seu plano de segurança. A equipe também pode denunciar o e-mail como spam ou phishing diretamente no Gmail ou Outlook.

É crucial ter um plano que indique o que funcionários ou voluntários devem fazer se ou quando receberem uma possível mensagem de phishing. Além disso, recomendamos seguir essas práticas recomendadas de phishing: não clicar em links suspeitos, evitar anexos e verificar o endereço em “de”, além de compartilhá-las com outras pessoas com quem você trabalha, de preferência por meio de um canal de comunicação amplamente utilizado. Agindo dessa forma, você está se preocupando com as pessoas com quem se comunica, além de incentivar uma cultura em suas redes de que está alerta e ciente dos perigos do phishing. Sua segurança depende das organizações nas quais você confia e vice-versa. As melhores práticas protegem a todos.

Além de compartilhar as dicas acima com todos os funcionários e voluntários, você também pode praticar a identificação de phishing com o Teste de phishing do Google. Também recomendamos enfaticamente a criação de treinamento regular de phishing com a equipe para testar a conscientização e manter as pessoas vigilantes. Esse treinamento pode ser formalizado como parte de reuniões organizacionais regulares ou conduzido de forma mais informal. O importante é que todos na organização se sintam à vontade para fazer perguntas sobre phishing, denunciar phishing (mesmo que sintam que podem ter cometido um erro, como clicar em um link), e que todos tenham o poder de ajudar a defender sua organização contra essa ameaça de alto impacto e alta probabilidade.

Phishing

  • Treine regularmente a equipe sobre o que é phishing, como identificá-lo e se defender dele, incluindo phishing em mensagens de texto, aplicativos de mensagens e telefonemas, não apenas em e-mail.
  • Relembre frequentemente a equipe das melhores práticas, como:
    • Não baixar anexos desconhecidos ou potencialmente suspeitos.
    • Verificar o URL de um link antes de clicar. Não clicar em links desconhecidos ou potencialmente suspeitos.
    • Não fornecer informações confidenciais ou privadas por e-mail, texto ou telefonema para endereços ou pessoas desconhecidas ou não confirmadas.
  • Incentive a denúncia de phishing.
    • Estabeleça um mecanismo de denúncia e uma pessoa responsável para questões de phishing em sua organização.
    • Recompense o ato de denunciar e não penalize por falhas.