Você já deve ter recebido alguma mensagem, seja por e-mail, SMS ou WhatsApp, dizendo que ganhou algum prêmio ou que teve algum problema com seu cartão de crédito ou conta bancária e que, para resolver a situação, deve entrar em contato clicando no link enviado, certo? Ou então abrir um arquivo anexo referente a alguma conta que não foi paga? Ou acessar um link para não deixar passar uma oferta imperdível?
Caso você tenha respondido ‘sim’ (e, sinceramente, creio que todos nós já recebemos este tipo de abordagem mais de uma vez, inclusive), saiba que, mesmo sem reconhecer este nome, você já sofreu um ataque de ‘Phishing’.
O que é Phishing?
Phishing é um tipo de ataque de engenharia social em que os criminosos tentam enganar as vítimas, normalmente se passando por empresas confiáveis ou autoridades, com o intuito de instalar vírus/malware em seus dispositivos ou para que elas voluntariamente forneçam voluntariamente informações pessoais, como número de cartão de crédito, senhas bancárias e dados de documentos, entre outros.
Para as empresas os danos podem ser ainda maiores. Afinal, neste caso, os criminosos não estão querendo dinheiro, mas uma coisa ainda mais valiosa: dados!
Danos de ataques phishing nas organizações
Entre os diversos prejuízos que podem ser causados por ataques phishing às organizações, podemos citar:
• Danos à reputação:
É inevitável que a imagem da empresa saia arranhada sempre que houver anúncio de vazamento dos dados.
• Queda nas vendas:
O dano na reputação é apenas o efeito mais imediato à notícia, sendo seguido pela queda na confiança dos consumidores e, consequentemente, pela diminuição das vendas.
• Perda de valor da companhia:
A perda de confiança não acontece apenas por parte dos consumidores, mas também dos investidores e acionistas.
• Interrupção dos negócios:
Ataques phishing podem interromper os negócios de várias maneiras; dados podem ser roubados ou danificados impedindo a produção e/ou o acesso dos consumidores às vendas ou serviços prestados ou ainda os funcionários podem não conseguir realizar seu trabalho devido a problemas de acesso ao sistema.
Proteção ao Phishing: Defesa em múltiplas camadas
Normalmente, as recomendações de prevenção se restringem somente na detecção do phishing pelos usuários. Esta técnica funciona e é importante para a estratégia de defesa, porém não é totalmente eficaz.
Portanto, para efetivamente ter uma defesa mais sólida da companhia contra phishing é preciso adicionar outras medidas de proteção mais técnicas.
Com a defesa em múltiplas camadas, por exemplo, há mais oportunidades de detectar e impedir o ataque antes que ele cause grandes danos.
Há 4 camadas que devem ser utilizadas para defesa contra Phishing:
Dificultar o acesso dos ataques aos usuários
Treinar os usuários para efetivamente identificar e reportar os casos suspeitos
Proteger o sistema de dados da empresa contra casos não detectados pelos usuários
Proteger o sistema de dados da empresa contra casos não detectados pelos usuários
Agir rapidamente em caso de incidentes
Assim como o Phishing, o Spear Phishing e o Whaling também são um tipo de ataque de engenharia social.
A diferença entre eles é que, enquanto os ataques Phishing tentam lucrar baseados na quantidade, uma vez que são feitas campanhas de múltiplos envios de mensagens passando-se por grandes companhias e sem um alvo muito certo e, portanto, é esperado que apenas uma pequena e desconhecida parcela de vítimas vão ‘morder a isca’ e cair no golpe.
Já o Spear Phishing e o Whaling são exatamente o contrário.
O Spear Phishing e o Whaling são ataques extremamente direcionados, em que mensagens, por e-mail ou outro tipo de comunicação eletrônica, são pensadas e enviadas tendo uma pessoa, empresa ou segmento em particular como alvo. Muitas vezes, as mensagens têm assuntos pertinentes ao contexto da vítima e simulam serem originais e de pessoas conhecidas do alvo, inclusive, podem aparentar terem sido enviadas de dentro da própria empresa, o que as tornam muito mais fáceis de se acreditar que sejam verdadeiras.
Esses ataques normalmente visam a obtenção de dados sigilosos. Eles podem ser obtidos através de links ou arquivos maliciosos contidos nessas mensagens ou enviados de boa-fé pelas vítimas.
Spear Phishing ou Whaling?
Agora que já conseguimos diferenciar o Phishing do Spear Phishing e do Whaling, vamos analisar qual a diferença entre os dois últimos.
Embora ambos funcionem de forma muito similar, a diferença entre eles é o tipo do alvo do ataque, ou melhor o ‘tamanho’ do alvo. Enquanto o Spear Phishing é direcionado para qualquer empregado que possa ter acesso a dados confidenciais da companhia, o Whaling é direcionado para os ‘peixes grandes’ da empresa, ou seja, altos gerentes, diretores, etc.
Como identificar ataques do tipo Spear Phishing e Whaling
Portanto, fica claro que qualquer um pode tornar-se um alvo potencial de ciberataques. Porém, mesmo com toda a evolução e refinamento desses tipos de ataques, há ainda alguns sinais que podem indicar que uma mensagem seja falsa, como:
Por fim, podemos concluir que os ataques de tipo Spear Phishing e Whaling podem ser muito eficientes em enganar as vítimas e são muito mais difíceis de serem detectados. Isso os torna muito mais preocupantes para as organizações.
Para se protegerem da melhor forma possível, as empresas devem instruir e treinar seus empregados a respeito desses tipos de ataque e das formas mais comumente utilizadas pelos criminosos e ainda contar com a Enygma Tecnologia, que dispõe das melhores soluções técnicas proativas de combate a ciberataques.