O que é o phishing?

Saiba mais sobre phishing, o que procurar num ataque e como se proteger com ferramentas e sugestões para se manter seguro online.

Defesa contra phishing

O que é phishing

Os ataques de phishing têm como objetivo roubar ou danificar dados confidenciais, ao enganar as pessoas para que revelem informações pessoais, como palavras-passe e dados de cartões de crédito.

Principais conclusões

Phishing é um tipo de ciberataque em que os atacantes se fazem passar por origens confiáveis para roubar informações confidenciais.
Esses ataques funcionam ao enganar as pessoas para que forneçam informações por meio de mensagens falsas concebidas para parecerem autênticas.
Os ataques de phishing podem ser identificados pelos endereços de e-mail suspeitos, saudações genéricas, linguagem urgente ou ameaçadora e pedidos para clicar em ligações desconhecidas.
A melhor forma de prevenir ataques de phishing é utilizar a autenticação multifator resistente a phishing (PR-MFA), ter cuidado com as ligações e anexos das mensagens e manter-se informado sobre as táticas de phishing mais recentes.

Tipos comuns de ataques de phishing

Os ataques de phishing são perpetrados por autores de esquemas fraudulentos que se fazem passar por fontes fiáveis para tentar facilitar o acesso a todos os tipos de dados confidenciais. Embora este tipo de ciberataque continue a evoluir com as tecnologias emergentes, as táticas permanecem consistentes:

Comunicação enganadora
Os atacantes são hábeis em manipular as suas vítimas para que estas revelem dados confidenciais, ao ocultar mensagens e anexos maliciosos em locais onde as pessoas não são muito perspicazes, como as suas caixas de entrada de e-mail. É fácil presumir que as mensagens que chegam à sua caixa de entrada são legítimas, mas tenha cuidado — os e-mails de phishing geralmente parecem seguros e inofensivos. Para evitar ser vítima destes ataques, abrande o ritmo e examine as hiperligações e os endereços de e-mail dos remetentes antes de clicar em algo.

Perceção de necessidade
As pessoas são vítimas de phishing porque pensam que têm de agir. Por exemplo, as vítimas podem transferir malware disfarçado como um currículo porque estão a ser contratadas com urgência ou inserir as suas credenciais bancárias num site suspeito para recuperar uma conta que, segundo lhes foi dito, expirará em breve. Criar uma falsa perceção de necessidade é um truque comum porque funciona. Para manter os seus dados em segurança, aja com intenso escrutínio ou instale tecnologia de proteção de e-mail que fará o trabalho árduo por si.

Falsa confiança
Os utilizadores maliciosos enganam pessoas ao criar um falso sentimento de confiança – e até os mais perspicazes são vítimas dos seus esquemas. Ao fazerem-se passar por fontes fiáveis como a Google, Wells Fargo ou UPS, os phishers podem convencê-lo(a) a tomar medidas antes que se aperceba de que foi enganado(a). Muitas mensagens de phishing passam despercebidas sem medidas avançadas de cibersegurança em vigor. Proteja as suas informações privadas com a tecnologia de segurança de e-mail concebida para identificar conteúdos suspeitos e eliminá-los antes que cheguem à sua caixa de entrada.

Manipulação emocional
Os utilizadores maliciosos utilizam táticas psicológicas para convencer os seus alvos a agir antes de pensar. Depois de criar confiança ao fazerem-se passar por uma fonte familiar e criarem um falso sentimento de urgência, os atacantes exploram emoções como o medo e a ansiedade para conseguirem o que pretendem. As pessoas tendem a apressar decisões quando lhes dizem que vão perder dinheiro, ter problemas legais ou perder o acesso a um recurso necessário. Tenha cuidado com qualquer mensagem que lhe exija "agir agora", pois poderá ser fraudulenta.

Os tipos mais comuns de ataques de phishing incluem:

Phishing de e-mail
A forma mais comum de phishing, este tipo de ataque utiliza táticas como hiperligações falsas para levar os destinatários dos e-mails a partilhar as suas informações pessoais. Os atacantes fazem-se passar por um grande fornecedor de contas, como a Microsoft ou a Google, ou até um colega.

Phishing de malware
Outra abordagem frequente ao phishing, este tipo de ataque envolve plantar malware disfarçado como um anexo de confiança (como um currículo ou extrato bancário) num e-mail. Em alguns casos, abrir um anexo de malware pode paralisar sistemas inteiros de TI.

Ataque spear phishing
Enquanto a maioria dos ataques de phishing são lançados como uma vasta rede, o ataque spear phishing tem como alvo utilizadores específicos ao explorar informações recolhidas através de pesquisa sobre os seus trabalhos e vidas sociais. Estes ataques são altamente personalizados, o que os torna particularmente eficazes para contornar a cibersegurança básica.

Ataque spear phishing a alvos importantes
Quando utilizadores maliciosos têm como alvo um "peixe graúdo", como um empresário ou uma celebridade, chama-se ataque spear phishing a alvos importantes. Estes impostores normalmente realizam uma pesquisa significativa sobre os seus alvos para encontrar um momento oportuno para roubar credenciais de início de sessão ou outras informações confidenciais. Se tem muito a perder, os autores de ataques spear phishing a alvos importantes têm muito a ganhar.

Smishing
Uma combinação das palavras "SMS" e "phishing", o smishing envolve enviar mensagens de texto disfarçadas como comunicações fiáveis de empresas como a Amazon ou a FedEx. As pessoas são particularmente vulneráveis a esquemas por SMS, uma vez que as mensagens de texto são entregues em texto simples e parecem mais pessoais.

Vishing
Em campanhas de vishing, os atacantes em call centers fraudulentos tentam enganar as pessoas de forma a fornecerem informações confidenciais por telefone. Em muitos casos, estes esquemas utilizam a engenharia social para convencer as vítimas a instalar malware nos seus dispositivos na forma de uma aplicação.

Os perigos do phishing

Um ataque de phishing bem-sucedido pode ter consequências graves. Pode passar por dinheiro roubado, cobranças fraudulentas em cartões de crédito, perda de acesso a fotos, vídeos e ficheiros – até cibercriminosos a fazerem-se passar por si e a colocar outras pessoas em risco.

Os riscos para um empregador podem incluir perda de fundos corporativos, exposição de informações pessoais de clientes e colegas de trabalho ou roubo ou inacessibilidade de ficheiros confidenciais. Uma falha de segurança de dados também pode ter um impacto negativo duradouro na reputação de uma empresa. Em alguns casos, os danos podem ser irreparáveis.

Alguns exemplos reais monitorizados pelas Informações sobre Ameaças da Microsoft incluem:

O ator de ameaças russo Star Blizzard foi observado a implementar mensagens de spear-phishing a jornalistas, think-tanks e organizações não governamentais, numa tentativa de roubar informações confidenciais.
O Sapphire Sleet, com sede na Coreia do Norte, foi acusado de roubar mais de 10 milhões de dólares em criptomoedas, primariamente ao fazer-se passar por um investidor de capital de risco e, secundariamente, por recrutadores profissionais.
O ator de ameaças conhecido como Storm-2372 foi descoberto por ter conduzido uma campanha de phishing de código de dispositivos, na qual explorou experiências de aplicações de mensagens para capturar tokens de autenticação.

Como reconhecer ataques de phishing

Os atores de ameaças podem ter como alvo uma ampla gama de indivíduos, especialmente aqueles com acesso a informações confidenciais. Muitos desses colaboradores ocupam funções estratégicas, como TI, finanças e cargos executivos. No entanto, os atores mal-intencionados também podem se passar por um supervisor ao "solicitar" credenciais dos seus colaboradores. Por este motivo todas as pessoas devem estar atentas a mensagens suspeitas.

O principal objetivo de qualquer esquema de phishing é roubar informações confidenciais e credenciais. Tenha atenção a qualquer mensagem (por telefone, e-mail ou mensagem de texto) que lhe peça dados confidenciais ou que prove a sua identidade.

Os atacantes trabalham arduamente para imitar entidades familiares e utilizam os mesmos logótipos, designs e interfaces que marcas ou utilizadores individuais que conhece. Fique alerta e não clique numa ligação ou abra um anexo a menos que tenha a certeza de que a mensagem é legítima.

Seguem-se algumas sugestões para reconhecer um e-mail de phishing:

Ameaças urgentes ou chamadas para ação, como abra imediatamente.
Remetentes novos ou incomuns – qualquer pessoa que lhe envie um e-mail pela primeira vez.
Erros ortográficos e gramaticais, muitas vezes devido a traduções estrangeiras inadequadas.
Ligações ou anexos suspeitos – texto com hiperligações que revela ligações de um endereço IP ou domínio diferente.
Erros ortográficos subtis, como micros0ft.com ou rnicrosoft.com.

Prevenção de ataques de phishing

Aqui estão alguns passos práticos que pode seguir para se proteger contra ataques de phishing:

Reconheça os sinais. Exemplos incluem saudações desconhecidas, mensagens indesejadas, erros gramaticais e ortográficos, um sentido de urgência, ligações ou anexos suspeitos e pedidos de informações pessoais.
Relate qualquer coisa suspeita. Relate mensagens suspeitas ao departamento de TI da sua organização ou sinalize-as através de ferramentas de relatório designadas.
Instale software de segurança. Implemente software concebido para detetar e bloquear tentativas de phishing, como programas antivírus ou firewalls.
Exija autenticação multifator (MFA). Esta etapa adiciona uma camada extra de segurança. Vá ainda mais longe com a MFA resistente a phishing (PR-MFA), que protege contra engenharia social.
Mantenha-se a par através de ações de educação e formação. As sessões de formação regulares podem ajudá-lo(a) a si e aos seus colegas de trabalho a identificar e relatar tentativas de phishing pelos canais adequados. Os métodos de ataque estão em constante evolução, portanto, é melhor ficar por dentro das tendências atuais em ciberespaço e das atualizações de informações sobre ameaças.

Responder a um ataque de phishing

Quando se deparar com uma tentativa de phishing, é fundamental agir rapidamente para minimizar os danos potenciais:

Não responda. Uma simples resposta pode confirmar ao invasor que o seu endereço de e-mail está ativo, o que pode encorajá-los a continuar tentar.
Altere as suas palavras-passe. Se suspeitar que as suas credenciais foram comprometidas, altere as suas palavras-passe imediatamente. Implemente a MFA se ainda não a estiver a utilizar.
Alerte a sua equipa de TI. Informá-los sobre a tentativa de phishing pode desencadear uma resposta a incidentes para ajudar a mitigar os danos na rede da sua organização.
Denuncie a tentativa de phishing. Use ferramentas de relatório designadas ou siga as instruções fornecidas pela sua equipa de TI.
Monitorize as suas contas. Verifique regularmente todas as contas com dados confidenciais, como contas financeiras, para detetar atividades suspeitas.
Eduque os seus colegas de trabalho. Informe a sua equipa sobre a tentativa de phishing e o que eles devem observar. Esta etapa simples pode fortalecer coletivamente as defesas.

Ao aplicar esses passos e tomar medidas imediatas, pode reduzir significativamente o risco de danos adicionais e proteger os dados pessoais e da organização.

Tendências de phishing

Os atores de ameaças utilizam uma variedade de malware para conduzir seus esquemas de phishing. Os mais comuns incluem:

Ransomware é um dos tipos mais comuns de malware. Este restringe o acesso aos dados ao encriptar ficheiros ou ao bloquear os ecrãs dos computadores e, em seguida, tenta extorquir dinheiro das vítimas, ao pedir um resgate em troca do acesso aos dados.

O spyware infeta um dispositivo e, em seguida, monitoriza a atividade no dispositivo e online, ao recolher todas as informações confidenciais utilizadas, tais como credenciais de início de sessão e dados pessoais.

Bots permitem que os atacantes infetem e assumam o controlo dos dispositivos. Botnets são redes de bots que utilizam servidores de comando e controlo (C&C) para espalhar uma rede ainda mais ampla para realizar atividades maliciosas.

Vírus são uma das formas mais antigas de malware. Eles anexam-se a ficheiros limpos e espalham-se para outros ficheiros e programas.

Trojans disfarçam-se como software normal. Uma vez instalados, espalham código malicioso que pode assumir o controlo de um dispositivo e criar uma porta traseira para outro malware.

Os ataques também adotaram malware gerado por IA, que é mais sofisticado e difícil de detetar, pois pode imitar o comportamento de software legítimo e regenerar código para escapar da segurança.

Esta rápida evolução do malware levou os profissionais de segurança a desenvolver técnicas semelhantes para tirar partido da IA para a cibersegurança:

As soluções de deteção e resposta alargadas (XDR) unem ferramentas como a deteção e resposta de pontos finais (EDR), IA e aprendizagem automática (ML), e outras ferramentas numa única plataforma com base na cloud.

A deteção e resposta gerida (MDR) combina tecnologia com conhecimentos humanos para reforçar a cibersegurança.

As soluções de gestão de informações e eventos de segurança (SIEM) melhoram a deteção de ameaças e a resposta a incidentes através da análise de dados de várias origens.

Ao combinar estas soluções, as organizações obtêm uma investigação abrangente de ciberameaças, deteção e análise com tecnologia de IA e capacidades de resposta automatizada em todo o seu património digital.

Proteja-se contra ataques de phishing

Proteger-se a si e à sua empresa contra ataques de phishing requer uma combinação de vigilância, educação e medidas de segurança robustas. Os programas regulares de formação e sensibilização podem ajudá-lo(a) a si e aos seus colegas de trabalho a reconhecer e responder a tentativas de phishing. Certifique-se de utilizar palavras-passe fortes e exclusivas, implementar MFA e comunicar mensagens suspeitas ao seu departamento de TI.

As organizações podem proteger as suas aplicações e dispositivos contra phishing e outras ciberameaças com Microsoft Defender para Office 365. Ajuda a proteger o e-mail e as ferramentas de colaboração, ao fornecer proteção avançada e melhorar a postura geral de segurança da empresa. O Defender para Office 365 também fornece capacidades de deteção e resposta a ameaças com tecnologia de IA, correção automatizada e formação em simulação de ciberataques para ajudar as organizações a anteciparem-se às ameaças em evolução.

Precauções

Dicas rápidas para evitar phishing

Não confie nos nomes a apresentar

Verifique o endereço de e-mail do remetente antes de abrir uma mensagem – o nome a apresentar pode ser falso.

Verifique se existem gralhas

Os erros de ortografia e gramática pobre são típicos em e-mails de phishing. Se algo parecer estranho, sinalize-o.

Veja antes de clicar

Coloque o cursor do rato sobre hiperligações em conteúdo que parece genuíno para examinar o endereço da ligação.

Leia a saudação

Se o e-mail se dirigir a "Caro cliente" em vez de si, tenha atenção. É provável que seja fraudulento.

Reveja a assinatura

Verifique se existem informações de contacto no rodapé do e-mail. Os remetentes legítimos incluem-nas sempre.

Tenha cuidado com as ameaças

Expressões baseadas no medo, como "A sua conta foi suspensa" são frequentes em e-mails de phishing.

RECURSOS

Saiba como o Microsoft Security pode proteger contra phishing

Solução

Soluções de proteção e prevenção contra phishing

Ajude a detetar e corrigir ataques de phishing com segurança e autenticação de e-mail robustas.

Saber mais

Solução

Operações de segurança unificadas

Ultrapasse as ciberameaças com uma poderosa plataforma de operações de segurança.

Saiba mais

Uma mulher sentada à secretária a trabalhar num computador portátil

Portal de Proteção contra Ameaças

Notícias sobre cibersegurança e IA

Descubra as últimas tendências e práticas recomendadas em proteção contra phishing e IA para cibersegurança.

Obtenha os recursos mais recentes

O phishing é um tipo de ciberataque em que os atacantes tentam enganar os indivíduos para que forneçam informações confidenciais, como nomes de utilizador, palavras-passe, números de cartões de crédito ou outros detalhes pessoais. Tal é normalmente efetuado ao fazer-se passar por uma entidade fiável em comunicações eletrónicas, como e-mails, mensagens de texto ou sites.
Na maioria dos casos, o atacante envia uma mensagem ao destinatário por e-mail, SMS (mensagem de texto), telefone ou site. A mensagem é personalizada e parece ter origem numa fonte legítima, ao solicitar urgentemente ao destinatário que envie informações confidenciais ou clique numa ligação que o encaminhará a um site falso concebido para roubar credenciais.
A melhor maneira de se proteger contra ataques de phishing é garantir que os seus dispositivos estejam configurados para autenticação multifator resistente a phishing (PR-MFA). Também deve reportar qualquer conteúdo suspeito à equipa de segurança da sua organização. Pode manter-se a par ao participar em programas de formação e sensibilização para saber como reconhecer e responder a tentativas de phishing.
Ataques comuns de phishing incluem:
Phishing por e-mail (mais comum): os atacantes enviam e-mails que parecem legítimos, instando os destinatários a agir rapidamente para evitar perder o acesso aos recursos da empresa.

Smishing: phishing por SMS, instando os destinatários a clicar numa ligação ou a fornecer informações.

Spear phishing: um método direcionado em que os atacantes usurpam a identidade de uma origem fidedigna, como o seu chefe, para roubar informações.

Vishing: phishing por meio de chamadas telefónicas para recolher informações confidenciais.
O phishing é uma das formas mais eficazes de roubar informações e pode ter consequências graves para indivíduos e organizações. Os ataques de phishing bem-sucedidos podem expor informações pessoais e profissionais e levar ao acesso não autorizado a dados confidenciais, perdas financeiras e danos à reputação.