Varonis debuts trailblazing features for securing Salesforce. Learn More

Apresentamos a automação de privilégios mínimos para Microsoft 365, Google Drive e Box

Saiba Mais

Phishing: 5 vetores de ataques

3 minuto de leitura
Publicado 23 de Junho de 2022
Phishing: 5 vetores de ataques

Levantamento da Tessian mostrou que, em média, usuários recebem 14 e-mails com ataques de phishing por ano. Esse número é ainda maior no setor de varejo, com a média alcançando 49 e-mails em um único ano. Em outra pesquisa, a Kroll detectou um aumento de 54% nos incidentes de phshing apenas no primeiro trimestre de 2022, comparado com o mesmo período em 2021. 

Para os pesquisadores da empresa, esse aumento está vinculado à maior atividade dos malwares Emotet e IceID. 

De acordo com o estudo Internet Security Threat Report (ISTR) da Symantec, os assuntos mais comuns para chamar a atenção do usuário foram: 

  • TI: Inventário Anual de Ativos 
  • Alterações nos seus benefícios de saúde 
  • Twitter: Alerta de segurança: Login no Twitter novo ou incomum 
  • Amazon: Ação Necessária – Sua assinatura do Amazon Prime foi recusada 
  • Zoom: Erro de reunião agendada 
  • Google Pay: Pagamento enviado 
  • Solicitação de cancelamento aprovada 
  • Microsoft 365: Ação necessária: atualize o endereço da sua assinatura no Xbox Game Pass para console 
  • A Ring Central está chegando! 
  • Dia de trabalho: Lembrete: Atualização de segurança importante necessária 

Golpes de phishing mais comuns

A maioria dos usuários sabe o que é um golpe via e-mail, apesar disso, devido à sofisticação dos golpes de phishing, muitos ainda clicam em links maliciosos e permitem que dados críticos sejam roubados. Relatório da Verizon mostrou que 96% dos ataques de phishing chegam por e-mail, 3% via sites maliciosos e 1%, os chamados vishing, por telefone, quando o usuário recebe uma mensagem de texto maliciosa. 

E-mail de Phishing

Como vimos, o e-mail de phishing é o modelo de golpe mais utilizado por cibercriminosos, que registram um domínio falso para imitar um site genuíno e enganar usuários desatentos. Esse domínio, normalmente, inverte caracteres ou os troca por outros próximos ou ate mesmo cria um domínio exclusivo que faz alusão à marca. A melhor forma de evitar riscos é não clicar em links assim e sempre verificar o endereço. 

Spear Phishing

Outro modelo de e-mail de phishing é o spear phishing que utiliza dados reais do usuário para tentar enganá-lo. Para torná-lo ainda mais convincente, o criminoso procura se dirigir ao usuário pelo nome e formata o texto de forma a dar a sensação de ser uma mensagem verdadeira, não um golpe. A dica para segurança é a mesma: sempre verificar o endereço do e-mail antes de realizar qualquer ação solicitada. 

Whaling

Whaling ou ataque de baleia é um ataque direcionado e visa usuários em determinados postos dentro de uma empresa, como funcionários do alto escalão. Links e sites falsos, normalmente, não são utilizados nessa modalidade de ataque, pois o foco é imitar funcionários seniores que estão “dando uma ordem”. Ou seja, são ataques que dependem dos funcionários realmente acreditarem que receberam uma solicitação real. 

Smishing e Vishing

São ataques em que os e-mails são trocados por mensagens móveis, como alertas supostamente enviados por uma empresa supostamente sugerindo que o usuário foi vítima de uma fraude, ou com uma oferta tentadora. 

Angler Phishing

É um vetor relativamente novo que utiliza as mídias sociais para o golpe. Normalmente, o cibercriminoso cria links e sites falsos nas mídias sociais e se passa por um agente de atendimento para colher informações ou credenciais de contas. A maioria dos ataques foca em clientes de instituições financeiras. A melhor forma de evitar esse ataque é prestar atenção se a conta da empresa é verificada e, em caso de dúvidas, entrar em contato diretamente com a empresa pelo seu site ou telefone de atendimento. 

Como evitar ataques de phishing

A melhor maneira de evitar golpes de phishing é investir na conscientização dos funcionários para que consigam detectar com facilidade um e-mail malicioso. Apesar disso, à medida que o número de ataques cresce, o uso de soluções de Zero Day e prevenção de ameaças são fundamentais, mas há algumas práticas que podem ajudar a evitar riscos: 

  • Não clique em um link de e-mail, abra uma nova página no navegador e digite a URL 
  • Mantenha sistemas operacionais e navegadores atualizados 
  • Bloqueie pop-ups 
  • Não insira informações em janelas pop-ups se não tiver certeza que o site é seguro 
  • Não use a conta de administrador sem necessidade 
  • Exclua mensagens suspeitas 
  • Aceite apenas certificados confiáveis em páginas na web e não ignore os avisos do navegador 
  • Não clique em links para sites desconhecidos 

Evite perder dados por superexposição e ameaças cibernéticas com nossas poderosas ferramenta de detecção de ameaças, correção automatizada de riscos e alertas comportamentais. Entre em contato e solicite uma demonstração

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Try Varonis free.
Get a detailed data risk report based on your company’s data.
Deploys in minutes.
Keep reading
por-trás-do-rebranding-da-varonis
Por trás do rebranding da Varonis
Descubra a estratégia por trás do rebranding da Varonis, que envolveu uma transição completa para um arquétipo de herói e a introdução do Protector 22814.
o-que-é-uma-avaliação-de-risco-de-dados-e-por-que-você-deve-fazer
O que é uma avaliação de risco de dados e por que você deve fazer
A avaliação de risco dados é essencial para saber onde os dados estão armazenados, quem os utiliza e se estão em segurança 
dspm-x-cspm:-unindo-dados-e-segurança-na-nuvem-com-a-varonis
DSPM x CSPM: unindo dados e segurança na nuvem com a Varonis
Soluções DSPM e CSPM são fundamentais para que as organizações garantam que sua infraestrutura na nuvem e dados estejam seguros 
certificação-do-modelo-de-maturação-da-segurança-cibernética-2.0-(cmmc-2.0)
Certificação do modelo de maturação da segurança cibernética 2.0 (CMMC 2.0)
O DoD está implementando o programa de Certificação do Modelo de Maturidade de Segurança Cibernética 2.0