O que é o phishing?

Os ataques de phishing têm como objetivo roubar ou prejudicar dados confidenciais ao enganar as pessoas para que revelem informações pessoais, como palavras-passe e números do cartão de crédito.

Diferentes tipos de ataques de phishing

Os ataques de phishing são feitos por impostores que se fazem passar por fontes fiáveis e podem facilitar o acesso a todos os tipos de dados confidenciais. À medida que as tecnologias evoluem, os ciberataques também. Saiba mais sobre os tipos mais persuasivos de phishing.

  • Phishing de e-mail

    A forma mais comum de phishing, este tipo de ataque utiliza táticas como hiperligações falsas para levar os destinatários dos e-mails a partilhar as suas informações pessoais. Os atacantes fazem-se passar por um grande fornecedor de contas, como a Microsoft ou a Google, ou até um colega.

  • Phishing de malware

    Outra abordagem frequente ao phishing, este tipo de ataque envolve plantar malware disfarçado como um anexo de confiança (como um currículo ou extrato bancário) num e-mail. Em alguns casos, abrir um anexo de malware pode paralisar sistemas inteiros de TI.

  • Ataque spear phishing

    Enquanto a maioria dos ataques de phishing são lançados como uma vasta rede, o ataque spear phishing tem como alvo utilizadores específicos ao explorar informações recolhidas através de pesquisa sobre os seus trabalhos e vidas sociais. Estes ataques são altamente personalizados, tornando-se particularmente eficazes em contornar cibersegurança básica.

  • Ataque spear phishing a alvos importantes

    Quando utilizadores maliciosos têm como alvo um "peixe graúdo", como um empresário ou uma celebridade, chama-se ataque spear phishing a alvos importantes. Estes impostores normalmente realizam uma pesquisa significativa sobre os seus alvos para encontrar um momento oportuno para roubar credenciais de início de sessão ou outras informações confidenciais. Se tem muito a perder, os atacantes de ataques spear phishing a alvos importantes têm muito a ganhar.

  • Smishing

    Uma combinação das palavras "SMS" e "phishing", o smishing envolve enviar mensagens de texto disfarçadas como comunicações fiáveis de empresas como a Amazon ou a FedEx. As pessoas são particularmente vulneráveis a esquemas por SMS, uma vez que as mensagens de texto são entregues em texto simples e parecem mais pessoais.

  • Vishing

    Em campanhas de vishing, os atacantes em call centers fraudulentos tentam enganar as pessoas de forma a fornecerem informações confidenciais por telefone. Em muitos casos, estes esquemas utilizam a engenharia social para convencer as vítimas a instalar malware nos seus dispositivos na forma de uma aplicação.

Táticas comuns de phishing

  • Comunicação enganadora

    Os atacantes são habilidosos ao manipular as suas vítimas e fazer com que forneçam dados confidenciais ao esconder mensagens e anexos maliciosos em locais onde as pessoas não os conseguem distinguir bem (por exemplo, nas suas caixas de entrada do e-mail). É fácil assumir que as mensagens que chegam à sua caixa de entrada são legítimas, mas tenha atenção – os e-mails de phishing normalmente parecem seguros e inofensivos. Para enviar ser enganado, abrande o ritmo e examine as hiperligações e os endereços de e-mail dos remetentes antes de clicar em algo.

  • Perceção de necessidade

    As pessoas são vítimas de phishing porque pensam que têm de agir. Por exemplo, as vítimas podem transferir malware disfarçado como um currículo porque têm urgência em contratar ou introduzir as suas credenciais bancárias num site suspeito para recuperar uma conta que expira em breve. Criar uma falsa perceção de necessidade é um truque comum porque funciona. Para manter os seus dados em segurança, aja com intenso escrutínio ou instale tecnologia de proteção de e-mail que fará o trabalho árduo por si.

  • Falsa confiança

    Os utilizadores maliciosos enganam pessoas ao criar um falso sentimento de confiança – e até os mais perspicazes são vítimas dos seus esquemas. Ao fazerem-se passar por fontes fiáveis como a Google, Wells Fargo ou UPS, os phishers podem convencê-lo a tomar medidas antes que se aperceba de que foi enganado. Muitas mensagens de phishing não são detetadas se não estiverem implementadas medidas de cibersegurança avançadas. Proteja as suas informações privadas com tecnologia de segurança de e-mail concebida para identificar conteúdo suspeito e eliminá-lo antes que chegue à sua caixa de entrada.

  • Manipulação emocional

    Os utilizadores maliciosos utilizam táticas psicológicas para convencer os seus alvos a agir antes de pensar. Depois de criar confiança ao fazerem-se passar por uma fonte familiar e criarem um falso sentimento de urgência, os atacantes exploram emoções como o medo e a ansiedade para conseguirem o que pretendem. As pessoas tendem a apressar decisões quando lhes dizem que vão perder dinheiro, ter problemas legais ou perder o acesso a um recurso necessário. Tenha cuidado com qualquer mensagem que lhe exija "agir agora" – pode ser fraudulenta.

Um ataque de phishing bem-sucedido pode ter consequências graves. Pode passar por dinheiro roubado, cobranças fraudulentas em cartões de crédito, perda de acesso a fotos, vídeos e ficheiros – até cibercriminosos a fazerem-se passar por si e a colocar outras pessoas em risco.

No trabalho, os riscos para o seu empregador podem incluir perda de fundos da empresa, exposição de informações pessoais de clientes e colegas, roubo ou perda de acesso a ficheiros confidenciais, para além de prejudicar a reputação da sua empresa. Em muitos casos, os danos podem ser irreparáveis.

Felizmente, existem muitas soluções para proteção contra o phishing, tanto em casa como no trabalho.

Explore os serviços de proteção contra ameaças da Microsoft

Sugestões rápidas para evitar o phishing

Não confie nos nomes a apresentar

Verifique o endereço de e-mail do remetente antes de abrir uma mensagem – o nome a apresentar pode ser falso.

Verifique se existem gralhas

Os erros de ortografia e gramática pobre são típicos em e-mails de phishing. Se algo parecer estranho, sinalize-o.

Veja antes de clicar

Coloque o cursor do rato sobre hiperligações em conteúdo que parece genuíno para examinar o endereço da ligação.

Leia a saudação

Se o e-mail se dirigir a "Caro cliente" em vez de si, tenha atenção. É provável que seja fraudulento.

Reveja a assinatura

Verifique se existem informações de contacto no rodapé do e-mail. Os remetentes legítimos incluem-nas sempre.

Tenha cuidado com as ameaças

Expressões baseadas no medo, como "A sua conta foi suspensa" são frequentes em e-mails de phishing.

Proteja-se contra ciberameaças

Apesar de os esquemas de phishing e outras ciberameaças estarem em constante evolução, existem diversas medidas que pode tomar para se proteger.

Perguntas mais frequentes

|

O principal objetivo de qualquer esquema de phishing é roubar informações confidenciais e credenciais. Tenha atenção a qualquer mensagem (por telefone, e-mail ou mensagem de texto) que lhe peça dados confidenciais ou para provar a sua identidade.

 

Os atacantes trabalham arduamente para imitar entidades familiares e utilizam os mesmos logótipos, designs e interfaces que marcas ou utilizadores individuais que conhece. Fique alerta e não clique numa ligação ou abra um anexo a menos que tenha a certeza de que a mensagem é legítima.

 

Seguem-se algumas sugestões para reconhecer um e-mail de phishing:

  • Ameaças urgentes ou chamadas à ação (por exemplo: "Abra imediatamente").
  • Remetentes novos ou incomuns – qualquer pessoa que lhe envie um e-mail pela primeira vez.
  • Ortografia e gramática pobres (normalmente devido a traduções inadequadas).
  • Ligações ou anexos suspeitos – texto com hiperligações que revela ligações de um endereço IP ou domínio diferente.

Erros ortográficos subtis (por exemplo, "micros0ft.com" ou "rnicrosoft.com")

Se acredita que foi vítima de um ataque de phishing de forma inadvertida, existem algumas coisas que deve fazer:

  1. Escreva o máximo de detalhes sobre o ataque de que se conseguir lembrar. Tome nota de quaisquer informações que tenha partilhado, como nomes de utilizador, números de conta ou palavras-passe.
  2. Altere imediatamente as palavras-passe das suas contas afetadas e em qualquer outro lugar onde possa utilizar a mesma palavra-passe.
  3. Confirme se está a utilizar autenticação multifator (ou de dois passos) em todas as contas que utiliza.
  4. Notifique todas as partes relevantes de que as suas informações foram comprometidas.
  5. Se perdeu dinheiro ou foi vítima de roubo de identidade, denuncie-o às autoridades locais e à Comissão Federal do Comércio. Forneça os detalhes que recolheu no passo 1.

Tenha em conta que, quando envia as suas informações a um atacante, é provável que estas sejam divulgadas rapidamente a outros utilizadores maliciosos. Pode esperar receber novos e-mails de phishing, mensagens de texto e chamadas telefónicas.

Se receber uma mensagem suspeita na sua caixa de entrada do Microsoft Outlook, clique emDenunciar mensagem a partir do friso e, em seguida, selecione Phishing. Esta é a forma mais rápida de remover a mensagem da sua caixa de entrada. Em Outlook.com, selecione a caixa de verificação junto à mensagem suspeita na sua caixa de entrada, selecione a seta junto a E-mail de Lixo e, em seguida, selecionePhishing.

 

Se perdeu dinheiro ou foi vítima de roubo de identidade, denuncie-o às autoridades locais e entre em contacto com a Comissão Federal do Comércio. Tem um site inteiro dedicado à resolução de problemas desta natureza.

Não. Apesar de o phishing ser mais comum através de e-mail, os phishers também utilizam chamadas telefónicas, mensagens de texto e até pesquisas na Web para obter informações confidenciais.

Os e-mails de spam são mensagens de lixo não solicitadas com conteúdo irrelevante ou comercial. Podem anunciar esquemas de dinheiro rápido, ofertas ilegais ou descontos falsos.

 

O phishing é uma tentativa mais direcionada (e, normalmente, mais bem disfarçada) de obter dados confidenciais ao enganar as vítimas para fornecerem voluntariamente informações da conta e credenciais.