CV

O que é o phishing e como se proteger a si e ao seu negócio

Blog / Empresas / O que é o phishing e como se proteger a si e ao seu negócio
O que é o phishing e como se proteger a si e ao seu negócio

O phishing é um tipo de ataque que tem como objetivo conseguir informação sensível, como dados pessoais ou bancários da vítima. O nome tem origem na palavra inglesa "fish" (pescar), porque o atacante quer "capturar" dados que possa usar para obter proveitos.

Os golpes de phishing vão acompanhando a evolução tecnológica e, por isso, é essencial saber como atuam os autores destes esquemas. Descubra como funcionam e o que fazer para se proteger contra ataques de phishing.

O que é o phishing e como funciona?

Tal como um pescador usa um isco para enganar os peixes e capturá-los, também os autores de golpes de phishing enganam as suas vítimas, fazendo-se passar por uma entidade credível para, de forma fraudulenta, aceder a informação confidencial.

Os ataques são feitos, por exemplo, através de um e-mail em que se pede ao destinatário que clique num determinado link ou descarregue um anexo. Pode ser pedido, por exemplo, que preencha um formulário em que coloca dados pessoais relacionados com contas bancárias, números de cartão de crédito, logins de contas online e outras informações confidenciais.

Outras vezes, os ataques de phishing envolvem referências multibanco, dizendo ao visado que tem de fazer o pagamento para evitar o corte de serviços. Como atualmente já é possível identificar imediatamente o destinatário da referência multibanco, este é um truque que já não é tão eficaz como costumava ser.

Como o remetente é, suspostamente uma entidade de confiança, como uma instituição bancária ou um fornecedor de serviços, como eletricidade ou comunicações, o visado não desconfia. Assim, acaba por clicar no link ou indicar os dados pretendidos.

Tipos de esquemas de phishing

Esta técnica também pode ser usada através de SMS e por telefone/voz, mas verificam-se também casos em que o phishing acontece através de mensagens instantâneas em aplicações de redes sociais ou em supostas conversas com responsáveis por empresas.

Há, assim, vários tipos de phishing que incluem, por exemplo:

  • Smishing: ocorre através do envio de um SMS ou MMS, supostamente originário de uma empresa de serviços. A empresa diz que vai cobrar uma quantia diária se o utilizador não anular o contrato no website da empresa. É aqui, quando o utilizador acede ao site, que os seus dados são obtidos;
  • Vishing: recebe um e-mail de uma entidade que aparenta ser totalmente legítima, convidando o utilizador a fazer o contacto pelo telefone. Quando faz a ligação um atendedor automático solicita vários dados pessoais para proceder a uma "verificação de segurança”;
  • Spear phishing: neste caso, a tentativa de phishing faz-se através de um e-mail que é enviado por alguém que se faz passar por um colega de empresa ou pelo próprio chefe. O objetivo deste e-mail de phishing é que o utilizador divulgue dados pessoais (como as credenciais de login) que dão acesso ao sistema informático da organização.

Como detectar phishing: alguns pontos a ter atenção

O phishing pode ocorrer a qualquer momento, mesmo que seja uma pessoa extremamente cuidadosa na informação que partilha ou nos sites que visita. Para saber se está a ser vítima de uma tentativa de phishing, é importante ter em atenção alguns sinais de alerta.

Eis algumas formas de reconhecer um e-mail de phishing.

Urgência

Um dos sinais de que pode estar a ser alvo de uma atividade suspeita é receber mensagens em que existe urgência para que desempenhe uma determinada ação. Por exemplo, tem de clicar, ligar ou abrir um anexo imediatamente para reclamar uma recompensa ou evitar uma penalização

Esta falsa sensação de urgência é comum nos ataques de phishing e esquemas com objetivos maliciosos. O objetivo é que o visado aja sem refletir ou sem ter tempo para falar com alguém de confiança (por exemplo, ligando para o banco ou para o suposto colega).

Um dos cuidados a ter com o phishing é justamente ler todas as mensagens com muita atenção. Se estiver com pressa, resista a esse apelo urgente, não clique em nada e guarde para analisar mais tarde.

Remetentes que não conhece

Os e-mails de phishing podem ser provenientes de entidades que pensa conhecer, mas também podem ter origem em remetentes novos ou marcados como externos.

Também pode acontecer que, embora o e-mail diga ser proveniente de uma empresa legítima e o endereço de e-mail pareça confirmá-lo, esteja a ser enviado de outro domínio, como Gmail ou microsoftsupport.ru. Ou que o existam erros ortográficos subtis no nome legítimo.

Assim, o mais indicado para evitar phishing é, ao receber uma mensagem de alguém que não conhece, ler com atenção redobrada e não clicar em links nem descarregar anexos sem ter a certeza de que é confiável.

Erros de ortografia

Uma das formas mais simples de se proteger do phishing é ter atenção redobrada ao conteúdo das mensagens que recebe. Normalmente, as empresas e entidades credíveis não enviam e-mails com erros gramaticais ou com uma construção de frases que parece saída de um tradutor automático.

Um e-mail ou mensagem com erros, num português estranho (e muitas vezes com expressões que não são usadas no nosso país, como "gerenciamento" ou "boleto") é, geralmente, um sinal de alerta para um dos tipos mais comuns de phishing.

Saudações pouco personalizadas

O seu banco, uma loja online onde costuma fazer compras ou a empresa em que trabalha sabem o seu nome e até fazem questão que as mensagens que lhe enviam sejam o mais pessoais possível.

Por isso, se a mensagem é impessoal ou começa com uma saudação genérica como "Caros senhores", desconfie, porque provavelmente o remetente não é quem diz ser.

Ligações suspeitas

O envio de links e anexos é um exemplo clássico de ataque de phishing, frequentemente capaz de enganar os destinatários mais desatentos ou menos conscientes dos seus riscos. Ao acreditarem que a mensagem é legítima, ou sem verificarem a segurança do site, muitos acabam por clicar no link ou descarregar o anexo.

Na verdade, esta ligação é um ataque de phishing que vai infetar o seu dispositivo com vírus ou software malicioso (malware) para aceder a dados pessoais e informações sensíveis.

Para se proteger contra o phishing via links, coloque o cursor do rato por cima da ligação, mas sem clicar. Ao fazê-lo consegue verificar qual o endereço de destino daquela ligação. Confirme se o endereço que aparece corresponde ao link que está escrito na mensagem ou se revela um outro endereço.

Chamadas telefónicas

As mensagens de texto, por WhatsApp ou chamadas telefónicas são, também, cada vez mais utilizadas em ataques de phishing. Nestes casos, o objetivo é convencer o destinatário a visitar sites falsos ou pedir que introduza um número PIN ou outro tipo de informações pessoais.

Um truque comum é abordar as pessoas com supostas propostas de emprego ou a necessidade de discutir um trabalho. Nestes casos, a melhor forma de se defender de ataques de phishing é desligar a chamada e não ligar de volta. Tem também a opção de bloquear esse número para que não volte a ligar-lhe.

Como prevenir e como se proteger dos ataques do phishing

O Centro Nacional de Cibersegurança e a Polícia Judiciária recomendam algumas medidas para evitar situações de phishing:

  • Não clicar em anexos ou links de e-mails em mensagens ou de SMS suspeitos;
  • Se for contactado, deve confirmar a veracidade do endereço de e-mail, do perfil ou do número de telefone de origem;
  • Avaliar se os conteúdos de e-mails, de mensagens instantâneas, SMS ou de telefonemas são oportunos; por exemplo, se não é cliente de determinada empresa, nada justifica que lhe seja pedido um pagamento;
  • Não partilhar dados pessoais ou seguir instruções sem verificar junto de fontes a veracidade do pedido; por exemplo, fale com o seu gestor de conta do banco;
  • Desconfie de mensagens com erros de linguagem;
  • Não partilhar dados sensíveis nas redes sociais;
  • Desconfie de notícias e ofertas sensacionalistas;
  • Não se deixe influenciar por mensagens com um tom ameaçador ou alarmista;
  • Desconfie de prémios, ofertas, ou produtos abaixo do preço que é praticado pelo mercado;
  • Não responda a este tipo de mensagens e apague-as imediatamente.

Se tem uma empresa, é importante fazer, periodicamente, simulações de ataques de phishing, para aumentar a sensibilização e os níveis de atenção entre os colaboradores. O Centro Nacional de Cibersegurança oferece um conjunto de formações para que pessoas e empresas aprendam como se proteger do phishing e das suas consequências.

O que fazer se receber uma mensagem de phishing

Dado que esta é uma ameaça cada vez mais comum, é natural que, para se proteger e para proteger a sua empresa, queira saber como prevenir o phishing.

Deixamos alguns passos que deve dar caso suspeite que foi vítima de um ataque de phishing:

  • Enquanto a memória ainda estiver fresca, anote todos os dados de que se recorda. As informações mais importantes são dados que possa ter partilhado, como palavras-passe, códigos de acesso, nomes de utilizador, números de conta ou outros;
  • Mude imediatamente as palavras-passe em todas as contas que foram afetadas;
  • Crie passwords exclusivas para cada conta;
  • Opte pela verificação de dois passos, também conhecida por autenticação multifator;
  • Caso o ataque de phishing seja bem-sucedido e afete as suas contas profissionais, é importante notificar, assim que possível, as pessoas responsáveis pelo suporte de tecnologias de informação;
  • Caso tenha partilhado dados sobre os seus cartões de crédito ou contas bancárias, entre em contacto com o seu banco para alertar para a eventual fraude e tomar as medidas necessárias.

Como denunciar phishing

Se foi vítima de phishing e, por causa disso, perdeu dinheiro ou foi vítima de roubo de identidade, é extremamente importante denunciar a situação às autoridades. Pode contactar diretamente a polícia, preencher uma queixa eletrónica (para casos de burla, extorsão) ou recorrer ao Gabinete de Cibercrime.

O Centro Nacional de Cibersegurança (CNCS) aconselha também a que reporte a situação, seguindo estes passos:

  • Perceber o que se passou e qual o impacto para si, para a sua empresa ou para terceiros;
  • Reportar o incidente através de do CNCS ou do e-mail cert@cert.pt;
  • Seguir as recomendações indicadas pelos profissionais, por exemplo, apagar o e-mail fraudulento, mudar as palavras-passe, atualizar os sistemas, etc.

O phishing e outras ameaças que chegam através da web são, muitas vezes inevitáveis, mas é bastante fácil começar a tomar medidas que evitem que a sua empresa possa ser vítima destes esquemas. Saber o que é o phishing e como funciona é o primeiro passo para estar mais alerta e, caso algo suceda, saber o que fazer.

Achou o artigo interessante?
Artigos Relacionados...
Fluxo de caixa: o que é e como gerir da melhor forma
Fluxo de caixa: o que é e como gerir da melhor forma

O fluxo de caixa é um bom indicador da saúde financeira de uma empresa. Saiba em que...

Ver Mais
Como escolher o melhor software de faturação para a sua imobiliária?
Como escolher o melhor software de faturação para a sua imobiliária?

Procura uma solução de faturação simples e intuitiva para a sua imobiliária? Saiba o...

Ver Mais
Redução de custos: saiba como pôr em prática no seu negócio
Redução de custos: saiba como pôr em prática no seu negócio

A redução de custos é parte importante de uma gestão financeira eficiente. Descubra 8...

Ver Mais
Como Fazer a Gestão de Fornecedores de Forma Eficiente e Estratégica
Como Fazer a Gestão de Fornecedores de Forma Eficiente e Estratégica

Fazer uma boa gestão de fornecedores é um fator fundamental para qualquer empresa....

Ver Mais
O Cegid Vendus é fácil e intuitivo. Além disso não existe qualquer compromisso ou fidelização.
Tânia Ribas Experimentar Grátis

Software de Faturação e POS desde 662.50$/mês sem limites.
30 Dias Gratuitos sem compromisso!

Experimente Grátis
Sobre o Cegid Vendus

O Cegid Vendus é um programa de facturação homologado online que permite gerir uma loja em qualquer lugar pois funciona 100% na cloud. Como é um software POS online, permite faturar em segundos num restaurante, bar, cabeleireiro ou qualquer outro tipo de comércio.