8 tipos de ataque de phishing que você deve conhecer
O phishing ainda é uma das maiores ameaças à segurança cibernética do mundo.
Na verdade, de acordo com uma pesquisa da empresa de segurança cibernética Barracuda , o phishing se tornou tão crescente que o número de ataques de phishing relacionados ao coronavírus aumentou 667% de janeiro a março deste ano. O que é ainda mais alarmante é que, de acordo com um estudo da Intel, até 97% das pessoas não conseguem identificar um e-mail de phishing.
Para evitar se tornar uma vítima, você precisa conhecer as diferentes maneiras pelas quais os phishers podem tentar atacá-lo. Aqui estão oito tipos diferentes de tentativas de phishing que você pode encontrar.
1. Phishing de e-mail
Este é o típico e-mail de phishing criado para imitar uma empresa legítima. É o tipo de ataque menos sofisticado que usa o método "spray and pray".
Eles não têm como alvo uma pessoa específica e muitas vezes apenas enviam e-mails genéricos a milhões de usuários, esperando que algumas vítimas inocentes cliquem no link, baixem o arquivo ou sigam as instruções no e-mail.
Eles geralmente não são tão personalizados, então usam saudações gerais como "Prezado titular da conta" ou "Caro membro valioso". Eles também costumam usar pânico ou medo com palavras como 'URGENTE' para levar os usuários a clicar no link.
2. Spear Phishing
Este é um tipo de phishing mais sofisticado e avançado que visa um grupo específico ou até mesmo indivíduos específicos . Muitas vezes, é usado por hackers de alto perfil para se infiltrar em organizações.
Os golpistas realizam pesquisas extensas sobre as pessoas, seu histórico ou as pessoas com as quais interagem rotineiramente, para que possam criar uma mensagem mais pessoal. E porque seus usuários mais pessoais não costumam suspeitar que algo está errado.
Sempre verifique o endereço de e-mail e o formato da carta em relação ao que você normalmente recebe desse contato. Também é melhor ligar para o remetente e verificar tudo antes de baixar um anexo de arquivo ou clicar em links, mesmo que pareça ser de alguém que você conhece.
3. Baleeira
Este é outro tipo sofisticado e avançado de phishing, apenas este visa um grupo específico de pessoas — executivos de negócios de alto perfil, como gerentes ou CEOs.
Eles às vezes se dirigiam ao alvo diretamente na saudação e a mensagem poderia ser na forma de uma intimação, uma reclamação legal ou algo que requeira ação urgente para evitar a falência, a demissão ou taxas legais.
Os invasores gastariam muito tempo fazendo pesquisas extensas sobre a pessoa e criando uma mensagem especializada para atingir pessoas-chave em uma organização que normalmente teriam acesso a fundos ou informações confidenciais.
O alvo receberá links para uma página de login convincente, onde códigos de acesso ou informações de login serão coletados por hackers. Alguns cibercriminosos também pedem às vítimas que baixem um anexo para supostamente ver o restante da intimação ou carta. Esses anexos vêm com malware que pode obter acesso ao computador.
4. Vishing 
Vishing ou phishing de voz é um tipo de phishing, mas em vez de enviar um e-mail, os invasores tentam obter informações de login ou dados bancários pelo telefone.
Os invasores se passarão por funcionários de uma organização ou pessoal de suporte de uma empresa de serviços e, em seguida, usarão as emoções para pedir às vítimas que entreguem dados bancários ou de cartão de crédito.
A mensagem às vezes pode ser sobre uma quantia em atraso, como impostos, ganhos em concursos ou ser de uma equipe de suporte técnico falsa solicitando acesso remoto a um computador. Eles também podem usar uma mensagem pré-gravada e falsificação de número de telefone, fazendo com que uma chamada internacional pareça ser local. Isso é feito para dar credibilidade ao ataque e fazer as vítimas acreditarem que a ligação é legítima.
Os especialistas aconselham as pessoas a nunca fornecer informações confidenciais como detalhes de login, números de previdência social ou dados bancários e de cartão de crédito pelo telefone. Desligue e ligue para seu banco ou provedor de serviços imediatamente.
5. Smishing
Smishing é qualquer forma de phishing que envolve o uso de mensagens de texto ou SMS. Os phishers tentarão convencê-lo a clicar em um link enviado por texto que o levará a um site falso. Você será instruído a digitar informações confidenciais, como detalhes do cartão de crédito. Os hackers então coletarão essas informações do site.
Às vezes, eles diriam que você ganhou um prêmio ou que, se não digitar suas informações, continuará a ser cobrado por hora por um serviço específico. Como regra geral, você deve evitar responder a textos de números que você não reconhece. Além disso, evite clicar em links recebidos de mensagens de texto, especialmente se você não souber a fonte.
6. Angler Phishing
Essa tática de phishing relativamente nova usa a mídia social para atrair as pessoas a compartilhar informações confidenciais. Os golpistas monitoram as pessoas que postam sobre serviços bancários e outros serviços nas redes sociais. Em seguida, fingem ser um representante de atendimento ao cliente dessa empresa.
Digamos que você poste um discurso retórico sobre um depósito atrasado ou algum serviço de banco ruim e a postagem inclua o nome do seu banco. Um cibercriminoso usará essas informações para fingir que é do banco e entrar em contato com você.
Em seguida, você será solicitado a clicar em um link para falar com um representante do atendimento ao cliente e, em seguida, ele solicitará informações para 'verificar sua identidade'.
Quando você receber uma mensagem como esta, é sempre melhor entrar em contato com o atendimento ao cliente por meio de canais seguros, como as páginas oficiais do Twitter ou Instagram. Normalmente, eles teriam um sinal de conta verificado.
7. Phishing de fraude de CEO
Este é quase como uma caça às baleias. Tem como alvo CEOs e gerentes, mas fica ainda mais insidioso, pois o objetivo não é apenas obter informações do CEO, mas sim fazer-se passar por ele. O invasor, fingindo ser o CEO ou semelhante, enviará um e-mail aos colegas solicitando dinheiro por transferência bancária ou pedindo o envio de informações confidenciais imediatamente.
O ataque normalmente é direcionado a alguém dentro da empresa que está autorizado a fazer transferências bancárias, como detentores de orçamento, pessoas do departamento financeiro ou aqueles que têm acesso a informações confidenciais. A mensagem costuma soar muito urgente, para que a vítima não tenha tempo para pensar.
8. Phishing em mecanismo de pesquisa 
Este é um dos mais novos tipos de ataques de phishing que usa mecanismos de pesquisa legítimos. Os phishers criarão um site falso oferecendo promoções, itens gratuitos e descontos em produtos e até mesmo ofertas de emprego falsas. Eles então usarão técnicas de SEO (otimização de mecanismos de pesquisa) para que seus sites sejam indexados por sites legítimos.
Portanto, quando você pesquisa algo, o mecanismo de pesquisa mostra resultados que incluem esses sites falsos. Em seguida, você será induzido a fazer login ou fornecer informações confidenciais que serão coletadas por cibercriminosos.
Alguns desses phishers estão se tornando adeptos do uso de técnicas avançadas para manipular os mecanismos de pesquisa para direcionar o tráfego para seus sites.
Fique informado e esteja vigilante
Saber os nomes de cada tipo não é tão importante quanto entender o MO, modo e canal de cada ataque. Você não precisa se confundir com o nome de todos eles, mas é importante saber como suas mensagens são criadas e quais canais os invasores usam para chegar até você.
Também é importante estar sempre vigilante e saber que existem tantas pessoas que estão tentando enganá-lo para que forneça seus detalhes. Entenda que sua empresa pode se tornar alvo de um ataque e que os criminosos estão procurando uma forma de entrar em sua organização.
Saber que essas ameaças existem é o primeiro passo para impedir que seu computador se torne um ponto de entrada de um invasor. Também é muito importante verificar novamente a origem da mensagem antes de agir.
Você também precisa entender que os invasores às vezes usam o medo e o pânico das pessoas para fazer com que os usuários façam o que desejam. Portanto, quando confrontado com uma ameaça, é importante se acalmar para poder pensar. E quando se trata de detectar golpes promocionais e de brindes, o velho ditado ainda se aplica: se algo parece bom demais para ser verdade, provavelmente é.
