Phishing: Como um login de e-mail roubado pode comprometer uma empresa [+update]

Phishing: Como um login de e-mail roubado pode comprometer uma empresa [+update]

Os negócios estão cada vez mais interessantes para os cibercriminosos

Atualização 31 de agosto às 18h10

[ATUALIZAÇÃO] Com as mudanças feitas pelo modo que interagimos nas empresas, foi necessário fazer algumas alterações no texto. A pandemia de Covid-19 deixou as pessoas ainda mais dependentes de diferentes tecnologias e a segurança é essencial. Indicamos quando alguma parte passou por alguma revisão.


O estagiário de uma empresa de tecnologia chega para mais um dia de trabalho e abre seu e-mail corporativo antes de pegar o primeiro café. Entre as mensagens recentes, o CEO da companhia, que mal aparece no escritório, pede para que o funcionário faça login em uma nova e desconhecida plataforma, o que é prontamente atendido pelo jovem aprendiz. Parece mais um dia de trabalho normal, mas, na verdade, pode também ser um hacker personificando um executivo de alto cargo e iniciando um ataque de phishing visando roubar dados de uma companhia. E com uma simples credencial de e-mail vazada, todos os dados do negócio podem ser atingidos.

Os esquemas de phishing não são novidade no Brasil: os cibercriminosos enviam e-mails falsos em massa fingindo ser bancos ou empresas famosas para tentar fisgar os dados de alguma vítima. No ano passado, cerca de 23% dos internautas brasileiros tiveram contato com um golpe do tipo. Nosso país está entre os três locais da América Latina em que esse tipo de ataque mais tem crescido anualmente.

Com a migração do trabalho do escritório para Home Office, os perigos são ainda maiores. Há vários meios de comunicação à distância. Alguns dos principais são justamente os e-mails. 

Um novo pote de ouro: empresas

E se as coisas já não estavam feias o suficiente, a tendência agora é piorar, principalmente no campo empresarial. Além dos modelos convencionais enviados para milhões de pessoas via e-mail, os hackers também estão trabalhando cada vez mais em novos formatos de phishing para roubar dados de empresas. Segundo o Hoxhunt, os ataques desse tipo voltados para SaaS (Softwares de Serviço), como Office e G Suite, subiram 237% de 2016 para 2017, e a tendência é que os números não parem de crescer.


Tela falsa do Google Drive usada em um ataque de phishing. Imagem: Small Business Website Primer

Graças aos muitos benefícios da nuvem para empresas, incluindo escalabilidade e acesso remoto, mais da metade das companhias no Brasil utilizam infraestrutura em cloud atualmente, com o país sendo um dos líderes da transição na América Latina. Uma das vantagens da tecnologia, porém, pode acabar virando uma fraqueza: o compartilhamento de dados. Como serviços de software em nuvem de empresas como Microsoft e Google guardam as informações da companhia a um login de distância, o descuido de segurança de um funcionário pode acabar comprometendo um negócio de maneira massiva.

Continua após a publicidade

Não é difícil imaginar uma empresa que mantém dados vitais compartilhados entre todos os funcionários em serviços como o Google Drive. Segundo Thiago Marques, analista de segurança da Kaspersky Lab, os cibercriminosos sabem que a maneira mais simples de chegar ao “pote de ouro” de uma companhia são descuidos dos próprios empregados. “Os cibercriminosos tendem a ver os colaboradores de uma empresa como o caminho de menor resistência em ataques cibernéticos”, explica o especialista. “Na América do Norte, por exemplo, duas das maiores causas de violações são ações descuidadas ou desinformadas de colaboradores, ataques de phishing ou outra forma de engenharia social.”

Diferentes formas de ataque [ATUALIZADA]


Imagem: Beauceron Security

Antes, a forma mais simples de escapar de ataques de phishing era simplesmente orientar todos da empresa a não abrirem e-mails suspeitos. Porém, agora, os cibercriminosos já utilizam outras artimanhas para obter informações sensíveis de um negócio ou pessoa de alto cargo. Além do popular correio eletrônico, já existem registros do esquema de roubo de dados por meio de SMS, propaganda de redes sociais,mensagens em apps como WhatsApp apps de nuvem.

Diversas empresas já possuem o WhatsApp Business, que é usado para vendas e contato profissional. Há diversas golpes na praça, que são voltados justamente para o mensageiro. 

No caso de empresas, porém, o phishing via e-mail ainda é bastante utilizado, pois é eficaz contra negócios e barato de ser feito. Segundo a Kaspersky, o correio eletrônico é uma das formas mais simples de se iniciar o golpe, pois basta comprar um domínio e começar o disparo de mensagens.

Para se diferenciar e ter sucesso na empreitada contra companhias privadas, os hackers costumam fazer um trabalho mais aprofundado do que nos esquemas que visam usuários comuns. “Os criminosos entendem o modelo de negócio da empresa, buscam por informações, seja em sites da empresa ou até mesmo LinkedIn”, conta Thiago Marques.

Em 2018, os ataques de phishing geraram 35% mais prejuízo em pequenas e médias empresas do que no ano anterior

Ações como fazer uma simples pesquisa prévia acabam aumentando o grau de sucesso dos golpes. Em 2018, ataques de phishing contra pequenas e médias empresas causaram prejuízos de até US$ 120 mil, 35% a mais do que no ano anterior. Para uma startup começando agora nos negócios, uma pancada como essa pode ser fatal.

Continua após a publicidade

No segundo semestre de 2017, por exemplo, mais de 400 indústrias foram atingidas por uma onda de e-mails disfarçados de cartas legítimas relacionadas a compras e contabilidade. Outro ataque que está se tornando cada vez mais popular é o Business Email Compromise (BEC), que além de ter uma aproximação personalizada, também conta com interações em tempo real.

Após fazer uma pesquisa sobre o alvo, os cibercriminosos criam um e-mail falso e enviam uma mensagem para um funcionário, fingindo ser o chefe ou um colega de trabalho. A conversa começa com um papo casual, mas durante a troca de mensagens, o hacker acaba pedindo informações sigilosas do negócio ou enviando uma página falsa para que a vítima faça login e, sem saber, tenha seus dados comprometidos.

 "As empresas precisam alertar os funcionários sobre pedidos de informações, dinheiro ou senhas"

 

Em alguns casos, os hackers também se aproveitam de falhas do protocolo SMTP, conseguem credenciais de vazamentos online ou ataques de phishing anteriores e roubam o e-mail genuíno da pessoa que está sendo imitada. Assim, fica ainda mais difícil escapar da armadilha. Como as interações são feitas em tempo real e envolvem um trabalho aprofundado de engenharia social, esse tipo de golpe costuma ser bastante efetivo.

Durante o período da pandemia, solicitações de acesso podem ser comuns. O que é recomendado, é checar o email. Veja se o domínio é correspondente. É muito comum hackers usarem endereços semelhantes, mas não tem como ser igual. Um exemplo poderia ser: [email protected] no lugar de [email protected] Um pequeno detalhe, que já pode te livrar de grandes problemas futuros.

 "As empresas precisam alertar os funcionários sobre pedidos de informações, dinheiro ou senhas", recomenda o representante da Kaspersky. Em 2018, as perdas relacionadas à ataques de BEC bem-sucedidos foram de mais de 12 bilhões de dólares mundialmente, segundo dados da divisão de internet do FBI. Ou seja, um deslize pode acabar pesando severamente no orçamento da companhia.

Recentemente, a Check Point Software, revelou que as "iscas" mais comuns nesse tipo de golpe são nome de empresas renomadas. Entre as mais famosas estão: Google, Amazon, Facebook, WhatsApp e Microsoft. 

O gráfico acima é referente ao segundo trimestre de 2020. É possível observar a porcentagem de cada nome usado. Muitos hackers criam sites falsos, idênticos aos originais, para conseguir dados importantes dos usuários.

No topo da lista estão duas gigantes: Google e Amazon. Logo em seguida, está o WhatsApp e Facebook, dias redes sociais da mesma empresa mãe. No final da lista está Netflix, Apple, Huawei e PayPal. Outro estudo, realizado pela Kaspersky, diz que um, a cada oito brasileiros, foi vítima de Phishing nos primeiros meses da pandemia.

Como proteger a minha empresa


Imagem: The Cyber Security Place

Com tantas ameaças, é essencial atualmente buscar meios que vão além das tecnologias antispam dos provedores de e-mail. Empresas especializadas em segurança online, como a já citada Kaspersky, possuem soluções que são úteis para oferecer uma camada extra de proteção para empresas. 

De acordo com Thiago Marques, um passo importante para empresas que lidam com informações na internet é fazer um levantamento sobre os ativos e dados da companhia e trabalhar em soluções específicas. "Uma avaliação de riscos de cibersegurança com base em ativos conhecidos tornará possível determinar ameaças viáveis de forma mais completa", comenta o especialista. Isso permite que uma organização concentre seus recursos de cibersegurança onde são mais importantes."

24% dos brasileiros acessam conteúdos de pornografia no trabalho

Além disso, outra dica é trabalhar na conscientização de todos os empregados para evitar que eles se tornem vítimas de phishing. Em 2017, 46% dos casos de golpes online envolvendo negócios começaram com negligência de funcionários. Uma pesquisa feita pela CORPA também aponta que 24% dos brasileiros acessam conteúdos de pornografia no escritório, algo que pode comprometer a segurança de redes compartilhadas. Com isso em mente, é necessário focar recursos para preparar o máximo de colaboradores que acessam dados coletivos para evitar problemas maiores.

"Os funcionários, sendo os usuários finais, são o elo mais fraco da cadeia na cibersegurança, já que seus maus hábitos online colocam em risco as redes corporativas e os dados confidenciais das empresas", comenta Marques. "As empresas devem oferecer treinamentos voltados para determinados cargos, e não apenas formações genéricas. É preciso transformar o treinamento de conscientização em algo pessoal e didático", indica o especialista.

Cuidados para o usuário final [ATUALIZADA]

Além de ter cuidado no trabalho, os brasileiros também não podem baixar a guarda para ataques de phishing nas horas de lazer. Mais de 90% dos golpes do tipo começam por e-mail, logo, é essencial ter cautela na hora de olhar o correiro eletrônico. Segundo mostra o Small Business Trends, os golpes por e-mail costumam envolver nomes de grandes empresas, órgãos governamentais ou serviços conhecidos. Se o remetente é um endereço desconhecido, a mensagem é apelativa ou aparenta ser falsa, evite entregar seus dados de mão beijada.

Além disso, fique alerta também nas redes sociais, pois já existem golpes que utilizam meios como o Facebook e o WhatsApp para roubar dados. Normalmente o esquema envolve um link com conteúdo para ser baixado ou um site externo com campos de preenchimento.

Logo, se receber uma promoção extraordinária via mensagem de uma fonte nada confiável, tenha cautela se quiser seguir em frente. Em casos como esse, é necessário ter bastante cuidado, pois os cibercriminosos utilizam cada vez mais artimanhas para deixar golpe mais realista. 


Imagem: Security Magazine

Uma das "cortinas de fumaça" utilizadas no phishing é o certificado HTTPS, que exibe um cadeado verde ao lado do link quando aberto no navegador. O Hoxhunt aponta que 20% dos sites usados em golpes adotavam o padrão em 2017, e a tendência é que o número continue aumentando.

A presença de um cadeado verde não garante que um site é seguro e confiável

O HTTPS é uma ferramenta de segurança que torna a troca de dados no endereço encriptada, mas pode ser utilizada por qualquer um que tenha um domínio online. Ou seja, o símbolo não garante que a pessoa por trás do site não é um hacker.

Links duvidosos, domínios diferentes, promoções boas demais para ser verdade, tudo pode ser golpes. Faça uma busca no Reclame Aqui, por exemplo, antes de enviar dados. Não informe códigos de segurança de apps, mesmo que haja uma boa oferta para isso. Certifique-se que seus dados estão seguros. 

Neste cenário de insegurança online, todo cuidado é pouco. Então, no trabalho ou em casa, fique ligado para não ter seus dados ou do seu negócio sendo comprometidos, afinal, um cibercriminoso pode estar a um clique de distância.

User img

Mateus Mognon

Mateus Mognon é formado em Jornalismo pela Universidade Federal de Santa Catarina. Vencedor do prêmio SET Universitário na Categoria Reportagem Digital, atua nos sites do grupo Adrenaline desde 2014. Atualmente, colabora para os veículos com notícias, análises e artigos envolvendo tecnologia e games.

O que você achou deste conteúdo? Deixe seu comentário abaixo e interaja com nossa equipe. Caso queira sugerir alguma pauta, entre em contato através deste formulário.

Novo golpe do WhatsApp usa perfis falsos para roubar usuários

Novo golpe do WhatsApp usa perfis falsos para roubar usuários

Hackers conseguiram cerca de R$ 500 mil criando contas moldadas com dados vazados


Google renomeia G Suite para Workspace e altera ícones do Gmail, Drive e Meet

Google renomeia G Suite para Workspace e altera ícones do Gmail, Drive e Meet

A empresa reformulou toda a identidade visual de seus serviços


Kaspersky: Ciberataques à educação cresceram mais de 350% no primeiro semestre

Kaspersky: Ciberataques à educação cresceram mais de 350% no primeiro semestre

Número de malwares disfarçados como aplicativos de videoconferência ou de ensino a distância também aumentou