Phishing: vigilância constante

||Phishing: vigilância constante
2018-11-21T16:31:42+00:00 21/11/2018|Tags: , , , |

Por: Chris Mermigas, Advogado Corporativo Sênior da Valid EUA 

Os diversos produtos da Valid têm como foco o lado seguro da inovação, seja protegendo a identidade de um titular de cartão de crédito ou habilitação ou dados confidenciais de nossos clientes. Nesta era digital, um ladrão não é mais aquele que entra pela janela para roubar arquivos dos computadores. Hoje, ele é quem manipula um teclado ou telefone de qualquer lugar do mundo, se passa pelo seu chefe, um CEO, um cliente, seu banco ou até um agente do governo. Tais identidades fraudulentas que aparecem assinando e-mails enviados de empresas ou indivíduos de respeito tem como alvo usuários desavisados de quem solicitam dados pessoais, confidenciais ou dinheiro. Essa prática perigosa é conhecida como phishing. As duas formas mais comuns de phishing no cenário corporativo são (1) se fazer passar por um executivo, pedir um vale-presente, dados bancários e/ou informações confidenciais e (2) se fazer passar por uma empresa com boa reputação com um hyperlink que, ao ser clicado, expõe o computador a softwares maliciosos e/ou acesso não autorizado.

O primeiro tipo de phishing (um executivo pedindo informações confidenciais) pode ser difícil de questionar, mas fácil de identificar. Veja alguns exemplos deste tipo de phishing:

  • Um e-mail de um executivo pedindo que cartões-presente sejam enviados para locais desconhecidos ou algum número de telefone.
  • Um e-mail de um colega pedindo que você envie amostras de um produto para uma empresa ou endereço desconhecido.
  • Um e-mail de um executivo ou funcionário solicitando dados bancários.
  • Um e-mail de um executivo solicitando uma transferência bancária.
  • E um caso mais comum em um cenário particular e não corporativo: uma chamada da Receita Federal ou órgão similar comunicando que uma ação será movida contra você.

Essas são só algumas das formas perigosas que o phishing pode assumir. Às vezes, pode ser difícil identificar a prática ou questioná-la sem se expor ou se colocar em risco. Não é fácil questionar uma solicitação de um executivo ou agente governamental, por exemplo. No entanto, é importantíssimo que você questione qualquer coisa que pareça errada, confirme a identidade do contato e não tenha medo de pedir ajuda ao Jurídico ou a departamento de TI.

O segundo tipo de phishing (se fazer passar por uma empresa com boa reputação com um link malicioso) pode comprometer toda a segurança de sua empresa com um simples clique. Todo mundo sabe que não se deve aceitar doce de estranho, mas, na era digital, é importante não clicar em nenhum link até ter 100% de certeza de que você está seguro. Veja alguns exemplos deste tipo de phishing:

  • Um e-mail de compartilhamento de arquivo pedindo que você visualize ou analise um documento.
  • Um e-mail que solicita que o usuário veja uma notícia ou algum produto.
  • Um e-mail que se pareça com um da área de Recursos Humanos.
  • Um e-mail que pareça ter vindo de seu banco ou empresa de cartão de crédito.

Estes são apenas alguns dos diversos tipos de e-mails que enganam o usuário para que ele clique em um link que contenha malware ou que exija dados particulares, confidencial ou credenciais.

Há diversas formas de um criminoso burlar a segurança da sua rede ou roubar informações e não existe defesa impenetrável contra elas.  O departamento de TI não tem como bloquear todos esses e-mails nem há garantias de que seu provedor vá mandar todos para a pasta de SPAM. A melhor defesa, portanto, é a vigilância constante, que precisa incluir o seguinte:

  1. Não clique em links ou anexos de remetentes desconhecidos.
  2. Tenha cuidado especial ao abrir anexos ou clicar em links de pessoas de fora da empresa.
  3. Analise o endereço do remetente em busca de nomes de domínio suspeitos.
  4. Não informe dados confidenciais por e-mail (como nomes de usuário e senhas).
  5. Passe o cursor do mouse sobre um link para inspecionar o endereço web/URL e investigar se é de um site legítimo.
  6. Não tente abrir nenhum documento que não esteja esperando receber.
  7. Se você receber um e-mail suspeito ou se duvidar de sua procedência, NÃO RESPONDA. Em vez disso, ligue para o remetente para verificar a legitimidade do e-mail ou entre em contato com o departamento de TI.

O phishing é uma ameaça constante tanto para pessoas físicas quanto jurídicas e não parece que vai acabar tão cedo. Além disso, os criminosos que se utilizam desses recursos encontram formas cada vez mais criativas de enganar as pessoas. É muito importante estar alerta e sempre consciente para não clicar em nenhum link desconhecido. Ninguém deve solicitar dados pessoais, nomes de usuário, senhas, informações bancárias ou dinheiro por e-mail.