Segurança dos dados em empresas, LGPD e os tipos de anti-phishing
Para se proteger de roubos e vazamentos de dados na internet, a melhor opção é optar por um anti-phishing, já que cada vez mais as pessoas se preocupam com a segurança dos dados em empresas e até a nível de indivíduo.
Quanto mais a tecnologia evolui, maiores devem ser as medidas para prevenir vazamento e roubo de dados. As tentativas de fraude são o início de muitos golpes e invasões que as empresas sofrem, sendo os e-mails considerados phishing um dos maiores perigos.
Este cenário levou, por exemplo, ao surgimento das novas leis de privacidade digital, como a Lei Geral de Proteção de Dados (LGPD). Uma das exigências trazidas pela LGPD é precisamente a ampliação da responsabilidade das companhias em relação a segurança dos dados em empresas. Com essa legislação, os vazamentos de dados não significarão apenas a quebra da privacidade das informações confidenciais do negócio, mas também uma fonte de sérios problemas financeiros e de imagem às organizações.
Todd O’Boyle, diretor de produtos da WatchGuard Technologies, declarou: “Não é nenhuma surpresa que os hackers usem essa abordagem – as pessoas ainda são o elo mais fraco de qualquer programa de segurança. Isso torna o phishing uma das maiores ameaças enfrentadas atualmente pelas pequenas e médias empresas”.
Neste artigo vamos abordar mais informações sobre o phishing para que você entenda esse problema e saiba como solucioná-lo.
O que é phishing?
Para uma empresa de distribuidor fonte chaveada, é essencial saber o que é o phishing e como pode se proteger. O phishing é um termo que foi utilizado pela primeira vez por volta dos anos de 1990 em uma ferramenta criminosa chamada AOHell.
Os fraudadores se passaram por membros da administração da América Online, enganando usuários e os incentivando a revelar as senhas de suas contas. Tendo as credenciais, os fraudadores utilizavam os perfis furtados para cometer outros crimes de fraude.
Desde essa época, essas tentativas de fraude evoluíram muito, sendo uma das ameaças mais comuns da internet nos dias atuais.
De forma conceitual, o ataque de phishing é um tipo de mensagem ou e-mail falso que tenta ludibriar os destinatários.
Os criminosos se passam por instituições ou pessoas que têm certa autoridade perante o usuário, fazendo com ele clique em um link ou passe informações sigilosas.
Quem cai nesse tipo de golpe acredita que se trata de um e-mail real, se sentindo confiante e desconsiderando a possibilidade de uma ameaça.
Essa é uma estratégia muito eficaz para distribuir scripts maliciosos ou até mesmo, que sequestram dados e prejudicam a segurança dos dados em empresas sensíveis, que pode ser uma empresa de flanges.
O roubo de dados costuma ser mais comum na esfera doméstica, mas os criminosos estão cada vez mais focados no ambiente corporativo.
Quais são os tipos mais comuns?
Com a mesma rapidez que as técnicas que buscam aprimorar a segurança dos dados em empresas surgem, os criminosos também evoluem suas práticas. Para se proteger do phishing é preciso conhecer bem as práticas adotadas para saber a melhor forma de agir.
Confira os principais tipos de phishing e entenda um pouco mais sobre eles a seguir, onde verá mais detalhes.
Blind Phishing
Esse é um dos ataques mais comuns que existem, com uma mensagem disparada em massa e sem muitas estratégias, contando apenas com alguém que caia na armadilha por acaso, como um colaborador da empresa de manutenção elétrica industrial desavisado.
Podemos comparar o blind phishing com uma rede de arrasto utilizada na pesca tradicional: ela é esticada no meio do rio ou do lago e os peixes que passarem por ali serão presos e removidos da água.
Caso não passe nenhum peixe até o final do dia, o pescador remove a rede e volta no dia seguinte.
Na internet, o sistema é o mesmo. O criminoso envia centenas ou milhares de e-mails com o mesmo conteúdo, e caso alguém caia na armadilha, ele dá andamento às próximas etapas do golpe.
Aqueles que conseguem identificar a tentativa de fraude ou quem não recebe a mensagem segue sua vida sem nenhum problema.
A fraude é concretizada quando você interage com o e-mail. Se sua fábrica de equipamentos de proteção individual apenas abrir e excluir o e-mail, nada acontecerá.
Clone Phishing
A clonagem de um site original que visa atrair usuário é o que chamamos de clone phishing. Muito recorrente em sites que trabalham com e-commerce.
Esse golpe funciona da seguinte forma: o usuário recebe um link do portal do fraudador e entra nele. Tudo estará com o site original, parecendo que nada ocorreu. Aparecem detalhes como:
A marca da empresa;
Ofertas;
Propagandas;
Produtos.
O objetivo é fazer com que o usuário preencha um formulário malicioso com suas informações.
Logo em seguida a vítima é direcionada à página real, sem nem perceber que caiu em um golpe. Isso dá mais tempo para o criminoso executar as mais variadas ações com os dados do usuário sem que ele perceba.
Para os formulários, normalmente é dado um motivo ou desculpa para fazer com que o usuário responda as perguntas. Ele pode capturar as mais diversas informações, como logins e senhas, bem como outros dados sensíveis e sigilosos.
Tanto pela aparência do site como o original, bem como a vítima ser logo direcionada para o site original, faz com que as pessoas não percebam o que aconteceu.
Uma equipe de topografia só percebe o golpe quando recebe algum tipo de movimentação incompatível em seus sistemas, cartões de crédito, contas bancárias.
Scam
O scam é outro golpe muito comum que visa induzir a vítima a informar seus dados pessoais, especialmente os que dão acesso à contas bancárias, número do cartão de crédito e senhas diversas.
Tudo é feito por meio de links enviados por e-mail ou outros tipos de mensagens, bem como por arquivos contaminados.
As informações são então utilizadas para que o criminoso se passe pelo usuário, assim ele pode fazer compras ou roubar dinheiro executando transações. Esse golpe também tem sido aplicado por telefone, mensagens de textos e até por meio das redes sociais.
Empresas de serviços de usinagem precisam ficar atentas a esse tipo de tentativas de golpe para não colocar em perigo tanto os seus funcionários quanto seus clientes.
Spear Phishing
Esse é um tipo de ataque a um grupo em especial, como funcionários do Governo Federal em algum estado ou município. Pode selecionar também pessoas que são clientes de uma mesma loja ou agir sobre uma pessoa específica.
Em síntese, o objetivo é igual ao scam, sequestrando dados bancários, cometendo fraudes com o cartão de crédito ou aplicando outros tipos de golpes.
Whaling
Essa variação do phishing tem o foco em executivos de uma companhia ou em personalidades de relevância para a empresa, como o presidente de uma corporação fabricante de linha de vida.
Se passando por essa pessoa, o criminoso toma decisões em nome do executivo. Até provar que se trata de uma fraude, pode ser que a vítima tenha que prestar esclarecimentos por algum tipo de movimentação estranha.
Vishing
Essa modalidade de roubos ocorre por meio da voz, e não apenas por mensagens, podendo ser acompanhada de um SMS que informa o bloqueio do seu cartão, por exemplo.
Dessa forma, o fraudador pede para que a vítima entre em contato para resolver a situação. No contato, o criminoso faz de tudo para se passar por uma empresa séria.
Assim, a vítima se sente confortável em fornecer todas as informações ao criminoso, que de posse delas comete diversos tipos de fraude ou desvio.
Smishing
Esse tipo de fraude também utiliza o SMS, geralmente ocorrendo por meio de mensagens sobre sorteios ou prêmios em dinheiro que a pessoa teria ganhado, assim a vítima realmente acredita que foi contemplada e segue todas as orientações do criminoso.
Como os phishings funcionam e como proteger a Segurança dos dados em empresas?
Diariamente os fraudadores trabalham em medidas para tornar o phishing mais poderoso e capaz de manobrar processos de segurança dos dados dos sistemas utilizados por empresas, como uma empresa de montagem mecânica industrial, que estão cheios de informações de clientes.
Em alguns casos, basta enviar um e-mail por meio de suas ferramentas e esperar que as vítimas caiam no golpe. Em outras situações, a pessoa precisa clicar no link especificamente para que o criminoso tenha acesso às informações do usuário.
Os ataques de phishing funcionam por uma série de etapas. Saiba a seguir quais são cada uma delas.
Planejamento da estratégia
O ataque dos fraudadores profissionais é feito com uma estratégia e a cada ano eles vêm se atualizando para conseguir burlar os sistemas de em empresas.
Mesmo que seja para cometer um crime, é preciso planejamento com o objetivo de obter o maior número de dados em cada contato.
Envio da mensagem de ataque
Uma vez que a mensagem é recebida pelo usuário, já temos a tentativa de fraude. É nesse ponto que as empresas precisam estar espertas para suprimir o golpe.
No entanto, empresas que não têm um sistema de proteção anti-phishing estão vulneráveis, e irão receber o contato normalmente, ficando expostas ao próximo passo do crime.
Coleta de dados
Aqui são extraídas as informações do usuário de acordo com os objetivos traçados pelo criminoso.
Fraude pós-ataque
Tendo as informações e dados do usuário, o criminoso pode fazer as fraudes posteriores, como exigir o pagamento de um resgate das informações da empresa.
Outro tipo de golpe é o uso dos dados bancários para executar transferências e fazer compras em nome do usuário.
Limpeza de rastros
Ao fim, os criminosos sempre tentam limpar completamente os rastros, o que dificulta muito as investigações policiais. Normalmente muitos conseguem sair ilesos desse tipo de crime, fazendo uma boa limpeza dos rastros.
Considerações finais
Neste artigo você aprendeu sobre os diversos tipos de phishing e como podem ser prejudiciais para os usuários ou empresas.
O anti-phishing é fundamental para que cada um seja responsável por sua proteção, uma vez que rastrear esses criminosos costuma ser uma tarefa falha.
Esse texto foi originalmente desenvolvido pela equipe do blog Guia de Investimento, onde você pode encontrar centenas de conteúdos informativos sobre diversos segmentos.