Segundo o mais recente relatório do FBI, o phishing continua a ser o tipo de cibercrime mais comum nos EUA, com mais de 193 mil queixas só no último ano. No fundo, não é apenas nos Estados Unidos, por cá a coisa também tem vindo a crescer.
Mas o verdadeiro problema já não é a quantidade. É a evolução!
A realidade é, apesar de alguns ataques que qualquer criança consegue perceber e detetar, os ataques de hoje são muito mais limpos, credíveis e difíceis de detetar. A ZeroBounce, especialista em cibersegurança, alertou para cinco técnicas cada vez mais comuns que até utilizadores experientes deixam passar.
Tenha atenção e tome nota!
1. Phishing sem links nem anexos
Já há ataques que não incluem links nem ficheiros. Apenas uma mensagem curta, do género “Estás disponível para uma chamada rápida?” ou “Podes ajudar-me com isto?”. O objetivo?
Enganar o utilizador para responder e iniciar uma conversa em tempo real, muitas vezes com alguém a fingir ser um colega ou superior hierárquico.
2. Bombardeamento de notificações de login (MFA)
Outra técnica passa por usar os próprios sistemas de autenticação em duas etapas contra o utilizador. Primeiro roubam as credenciais.
Depois, enviam dezenas de notificações push e, a seguir, surge um email falso a dizer que é do suporte técnico a pedir para aprovar “só uma” tentativa. É uma forma de desgaste emocional, que explora o cansaço e a confiança no departamento de IT.
3. Anexos HTML disfarçados de portais seguros
Parecem faturas, documentos partilhados ou notificações internas, mas na verdade são ficheiros HTML maliciosos. Abrem-se no browser e mostram páginas falsas de login para roubar credenciais.
Só porque não é um executável, não significa que seja seguro. Se não tens 100% de certeza sobre o remetente, não abras.
4. Convites de calendário com links maliciosos
Agora o phishing também chega via eventos de calendário. Convites com títulos vagos como “Reunião de equipa” ou “Project Sync”, muitas vezes com botões de “Entrar” que escondem links perigosos.
Assim, como a maioria dos sistemas aceita automaticamente convites, estes entram direitinhos na agenda sem levantar suspeitas.
O maior perigo? A confiança excessiva
Pode parecer estranho, mas hoje em dia, o phishing já não tenta parecer diferente. Em vez disso, tenta parecer normal, e o normal é perigoso. O maior erro é pensar que já se sabe tudo. A realidade é que os ataques evoluem, e a atenção tem de evoluir também.
Em suma, verifica sempre o endereço de email, não cliques em links sem garantir que são legítimos e desconfia de pequenos sinais. Tais como: erros ortográficos, formatação estranha ou pedidos urgentes.
Isto porque, hoje, o phishing já não é feito para parecer suspeito. É feito para parecer trabalho do dia-a-dia.
Antes de mais nada, o que pensas sobre tudo isto? Partilha connosco a tua opinião na caixa de comentários em baixo.
