A atualidade ao «serviço» do phishing
O phishing é uma técnica de ciberataque utilizada por cibercriminosos. Consiste no envio de um e-mail com um ou vários anexos e/ou links fraudulentos, por trás dos quais se esconde frequentemente software malicioso(malware: cavalo de Tróia, vírus, worm, ransomware…). Para tal, o fraudador não falta de imaginação. Pode, por exemplo, fazer-se passar por uma entidade de confiança (colega, responsável, banco, seguradora, administração pública) para obter dados confidenciais (palavras-passe, dados de contacto…) e/ou aproveitar a atualidade para enganar o utilizador… e, neste caso, os temas não faltam!
Sabia que os primeiros ataques de phishing ocorreram na década de 90?
E sim… 30 anos de phishing!
Deveríamos, portanto, estar agora suficientemente informados e atentos a este flagelo. Com efeito, independentemente da época, do tema ou da forma, o procedimento continua a ser o mesmo!
E, no entanto, apesar disso, o phishing continua a ser um sucesso!
Continua mesmo no topo da lista dos vetores de ataque preferidos pelos fraudadores!
Por que é que o phishing continua a crescer?
Para além da utilização de técnicas cada vez mais sofisticadas, não faltam fontes de inspiração. Pelo contrário, são inesgotáveis! Uma delas, a atualidade, seja ela qual for (boa ou má), é, aliás, um terreno fértil e uma boa «oportunidade» para os cibercriminosos. Permite-lhes ativar mecanismos tão antigos quanto o mundo, tais como:
- A nossa ansiedade: tal como aconteceu recentemente com a COVID-19. (Por exemplo, o envio de e-mails para comprar máscaras «certificadas», gel hidroalcoólico ou para participar numa campanha de testagem).
- Os nossos medos, o nosso stress: por exemplo, o envio de e-mails fraudulentos relativos a multas por excesso de velocidade ou à declaração de impostos online. Ou, outro exemplo, e-mails que lhe propõem a desinfecção da sua casa (e, ainda por cima, supostamente recomendada pelo Estado!).
- A nossa curiosidade: na sequência da greve da SNCF no final de 2019, começou a circular uma série de e-mails repletos de links maliciosos. Estes links redirecionam para uma plataforma fraudulenta que solicita informações pessoais e/ou bancárias para obter o reembolso de bilhetes de comboio.
- O nosso entusiasmo: um reembolso de impostos pagos em excesso ou da Segurança Social, uma oferta aliciante de um suposto «medicamento milagroso» durante a COVID-19, falsos vales de compra enviados por e-mail para o Dia da Mãe, a última oferta de um fornecedor de serviços de Internet para um pacote «revolucionário» de que os meios de comunicação falam nas redes sociais ou ainda um e-mail com um link que o redireciona para um site falso de revenda de presentes de Natal. E o que pensar dos e-mails enviados durante os períodos de saldos, Black Friday, etc.?
- A nossa empatia: o envio de e-mails a convidar as pessoas a deixar os seus dados de contacto ou a assinar uma petição sobre um determinado tema de atualidade, por exemplo, doações para a investigação, para a ecologia ou para apoiar uma causa «em destaque».
Então… Como eliminar definitivamente o phishing?
Im-po-si-vel!
Por outro lado, é perfeitamente possível reduzir os riscos e limitar as consequências de um ciberataque por phishing. Como? Equipando a sua organização não só com soluções técnicas de segurança, como já deve ser o caso, mas também com soluções organizacionais.
Transformar o fator humano, o elo mais fraco da cibersegurança, numa grande mais-valia para a sua organização.
Sensibilizar para os riscos cibernéticos, dar formação em cibersegurança e ensinar os utilizadores a evitar as armadilhas dos e-mails de phishing: eis o ingrediente essencial e indispensável para uma organização «preparada para o ciberespaço» e ciber-resiliente!
Desempenha funções relacionadas com a gestão de riscos na sua organização? Organize uma campanha de sensibilização para a cibersegurança.
