O phishing é uma ameaça real contra a sua empresa na internet — e é melhor tomar cuidado para não ser fisgado.

Os criminosos especializados nessa modalidade espalham “iscas” pela web para roubar seus dados, vazar informações confidenciais e aplicar golpes financeiros. 

Para isso, eles se passam por bancos, operadoras de celular, loterias, serviços corporativos, órgãos governamentais e todo tipo de fraude que você possa imaginar.

Hoje, vamos entender exatamente o que é phishing e como você pode proteger seu site desses ciberataques.

Acompanhe os tópicos que abordaremos:

Leia até o fim e defenda seu negócio dos golpes online. 

O que é phishing?

Phishing é um golpe muito comum na internet que usa uma “isca” para “fisgar” vítimas e roubar dados pessoais e financeiros.

O próprio nome vem do verbo “pescar” em inglês, e cada vez mais pessoas caem na rede desses criminosos.

Só em 2020, um em cada cinco brasileiros sofreu pelo menos uma tentativa de phishing, e os ataques cresceram mais de 120% durante a pandemia, segundo dados da Kaspersky. 

Basicamente, as iscas são mensagens falsas que atraem os usuários e quase sempre imitam uma organização real como um banco, uma empresa ou um serviço online.

A intenção do golpista é fazer com que você clique em um link e seja direcionado para uma página falsa ou baixe um programa malicioso no seu computador ou smartphone.

Dessa forma, ele rouba dados como nome completo, documentos de identificação, contas bancárias, senhas e códigos de segurança — e assim pode fazer transações em seu nome e aplicar uma série de golpes.

Quem nunca recebeu aqueles e-mails suspeitos do tipo “Atenção! Seu nome está negativado, clique aqui para regularizar sua situação” ou “Parabéns! Você foi sorteado e ganhou uma viagem para Paris, clique aqui para fazer seu cadastro”?

Essas mensagens podem chegar por e-mail, SMS, WhatsApp e redes sociais em geral, e têm em comum um tom alarmista ou uma oportunidade imperdível.

Muitas vezes, são iscas muito sofisticadas que conseguem reproduzir com fidelidade o e-mail oficial do banco ou a mensagem daquele site em que você tem conta. 

Por isso, todo cuidado é pouco com o phishing à solta pela internet.

Tipos mais comuns de phishing

O phishing está na categoria de golpes de engenharia social, que induzem as vítimas ao erro em vez de burlar um sistema específico.

Esse tipo de ataque é ainda mais perigoso porque não depende de uma falha de segurança de dados, mas, sim, da manipulação emocional e psicológica do usuário. 

Conheça os principais tipos de phishing documentados:

Blind phishing

O blind phishing, ou “phishing às cegas”, é um ataque por meio do disparo de e-mails em massa

Nesse caso, os criminosos utilizam alguma base de dados vazada na internet para enviar as mensagens para o maior número de pessoas possível.

Com os vazamentos de dados frequentes, os golpistas têm cada vez mais informações sobre os usuários para criar e-mails mais convincentes e fisgar mais vítimas desavisadas.

Smishing

O smishing é simplesmente a versão do phishing via SMS

Nesse caso, o golpista envia uma mensagem para o celular da vítima e tenta fazer com que ela clique em um link com algum apelo imediatista.

Os smishings mais comuns falam sobre promoções imperdíveis, resgate de prêmios, oportunidades de quitação de débitos, entre outras mensagens que tentam persuadir o usuário a fornecer seus dados. 

Vishing

O vishing é a versão do phishing via voz, tendo como principais canais o telefone e celular da vítima. 

São aqueles golpes famosos em que as pessoas recebem ligações de criminosos se passando por atendentes de banco, e então acabam confirmando informações confidenciais e até digitando senhas. 

Clone phishing

Os golpes de clone phishing, como o nome sugere, são aqueles que clonam um site oficial para enganar as vítimas na internet.

Os cibercriminosos conseguem enviar e-mails com layout idêntico ao de empresas e criam sites que imitam perfeitamente as páginas oficiais para roubar os dados dos usuários. 

Spear phishing

O spear phishing é um tipo de ataque direcionado especificamente para uma pessoa ou grupo de pessoas.

Nesse caso, os golpistas investigam a fundo as vítimas e buscam reunir o máximo de informações para jogar uma isca mais complexa. 

Whaling

Whaling significa “caça às baleias” em inglês, e representa os golpes de phishing que miram nos “peixes grandes”.

São ataques direcionados a profissionais de altos cargos em empresas, CEOs, figuras públicas, etc. 

Scam

O phishing do tipo scam é aquele que utiliza links com softwares maliciosos como malwares, spywares e ransomwares para espionar e roubar as vítimas.

O ransomware é o mais complexo, pois envolve o sequestro virtual de máquinas e pedido de resgate pelos cibercriminosos.

Pharming

O pharming é um tipo de phishing que ataca um servidor DNS de uma empresa para reproduzir sites falsos a partir de sua rede.

Ele é muito perigoso porque leva a páginas fraudulentas sem que o usuário desconfie, pois a URL do site oficial passa a apontar para um servidor diferente do original.  

Como um ataque cibernético pode afetar seu negócio?

Um ataque de phishing pode ser devastador para uma empresa.

Geralmente, os criminosos que miram em pessoas jurídicas são mais experientes e procuram vulnerabilidades para roubar dados sensíveis e vazar informações.

Como resultado, vemos notícias de empresas tendo prejuízos milionários após ataques cibernéticos e sofrendo um impacto irreversível em sua reputação.

A subsidiária da JBS nos Estados Unidos, por exemplo, pagou mais de US$ 11 milhões em resgate aos hackers que atacaram seu sistema com um ransomware, conforme divulgado no G1

Já o LinkedIn ficou com a imagem prejudicada devido ao vazamento de informações de 700 milhões de perfis, incluindo dados como estimativas de salários e endereços residenciais, conforme publicado pelo Olhar Digital.

Uma das piores consequências do phishing é o vazamento de dados de clientes — o que pode gerar multas pesadas desde a vigência da Lei Geral de Proteção de Dados (LGPD)

Além disso, os criminosos podem:

  • Vender dados de clientes na deep web
  • Expor informações estratégicas para a concorrência
  • Codificar dados e exigir um resgate pelas informações (ransomware)
  • Utilizar dados pessoais e senhas de pessoas físicas para roubar dinheiro de contas, invadir carteiras digitais e fazer empréstimos usando o nome das vítimas.

Quase sempre as empresas vítimas de phishing sofrem com perdas financeiras, danos à reputação e processos judiciais que terminam em pesadas indenizações.

10 dicas para proteger seu site do phishing

Se você quer proteger seu site e a rede da sua empresa dos ataques de phishing, precisa ficar atento a essas dicas.

Confira:

1. Tenha um bom antivírus

Toda empresa precisa de um antivírus específico para negócios que proteja os servidores e o site das principais ameaças da web.

Afinal, a internet está repleta de malwares, cavalos de Tróia, ransomwares, rootkits e outros vírus que podem infectar redes e computadores e causar muito prejuízo.

Se você tiver um bom antivírus, pode permanecer protegido mesmo se alguém acabar clicando em um link malicioso, pois o sistema irá detectar e bloquear a ameaça automaticamente.

Lembrando que é importante proteger todos os endpoints (computadores, notebooks, tablets, celulares, etc.) usados na empresa.

2. Instale um firewall

O firewall continua sendo uma ferramenta indispensável para proteger sua rede de intrusos e bloquear qualquer ameaça da internet.

Ele funciona como uma barreira que analisa o tráfego e determina quais informações são seguras e quais podem ser perigosas.

Ao combinar um firewall com um antivírus, você tem o kit básico para a proteção contra phishing na rede da empresa.

3. Proteja seu servidor de e-mails

Muitos ataques de phishing chegam diretamente na caixa de entrada dos funcionários da empresa.

Por isso, é importante ter um bom filtro anti-spam no servidor de e-mails, além de recursos para bloquear remetentes maliciosos e identificar automaticamente URLs maliciosas.

Além disso, existem recursos como listas padronizadas de spammers e phishers (endereços de criminosos que praticam esses golpes) que são compartilhadas entre empresas. 

4. Tenha um certificado SSL

O mínimo que seu site precisa para garantir a segurança dos usuários é de um certificado digital SSL.

Ele acrescenta o famoso “https” e o ícone do cadeado na barra de endereço, que mostram que seu site é seguro para o consumidor.

Você pode adquirir o certificado SSL em autoridades certificadoras para assegurar uma conexão criptografada e se diferenciar de qualquer página falsa. 

5. Mantenha seu backup em dia

Uma das piores consequências de um ataque phishing é a perda de dados estratégicos para a empresa.

Para evitar esse problema, tenha sempre backups atualizados como forma de prevenção.

6. Treine seus funcionários

Como vimos, o phishing utiliza engenharia social para enganar pessoas e roubar dados.

Por isso, não adianta ter as melhores ferramentas de segurança se você não treinar seus funcionários para reconhecer essas ameaças.

É importante que todos saibam identificar uma mensagem suspeita e nunca cliquem em links desconhecidos.

7. Utilize um VPN no home office

Em tempos de home office, é importante utilizar uma conexão VPN para que os colaboradores acessem informações sensíveis da empresa com segurança.

Ela atua como um firewall e cria um “túnel” exclusivo para a troca de dados na rede. 

8. Restrinja direitos de acesso

O controle de acesso é outro ponto essencial para prevenir o phishing. 

A dica é restringir o acesso a determinados arquivos apenas para pessoas autorizadas, evitando que muitos funcionários acessem dados confidenciais — o que pode facilitar a ação de golpistas.

9. Tenha um bom gerenciamento de senhas

Gerenciar bem suas senhas significa criar combinações mais fortes e ter uma ferramenta para organizar todas as senhas utilizadas em diferentes sistemas.  

Sempre que possível, vale usar o recurso de autenticação de dois fatores para adicionar mais uma camada de segurança.

10. Garanta a certificação PCI-DSS

Nada mais eficiente para proteger seus dados do que ter uma certificação reconhecida internacionalmente como o PCI-DSS — ou utilizar uma plataforma de pagamentos que tenha.

Na Vindi, por exemplo, o PCI Compliance vem em primeiro lugar para garantir a segurança dos pagamentos digitais.

Essa certificação comprova a conformidade com padrões de segurança digital avançados para proteger dados de clientes em transações com cartões, além da blindagem do sistema contra cibercriminosos.

Então, se você quer reforçar as defesas do seu negócio, é melhor contar com uma solução de pagamento certificada.

Gostou das dicas para se proteger do phishing e tornar suas vendas mais seguras?

Então, aproveite e baixe nosso ebook completo sobre Antifraude para e-commerces.

E-book sobre os principais sistemas antifraude para e-commerce