A internet não é um lugar seguro para se estar, mas quem consegue ficar fora dela, não é mesmo? Nas últimas décadas a revolução gerada pela invenção do protocolo TCP IP e demais que conformam a internet criaram negócios nunca antes possíveis. De acordo com um estudo da Oxford Economics, a internet gerou mais de US$100 trilhões em riqueza global desde 2000 até 2016. Isso equivale a mais de 15% do PIB mundial.
Naturalmente que os maiores vencedores são os negócios associados a tecnologia. Novamente a Oxford Economics reportou em 2017 que o crescimento da economia digital é 2,5x maior que o crescimento da economia como um todo (em termos de PIB).
Todo esse desenvolvimento do ambiente digital não foi acompanhado pela educação das pessoas. No sentido em que aprendemos desde criança que não devemos aceitar um doce ou guloseima oferecida por estranhos, mas quando recebemos um email onde se lê no anexo ou em um link uma mensagem sedutora, ficamos compelidos em clicar para satisfazer essa inata curiosidade humana. E daí se origina o famoso incidente de segurança da informação. Quando um simples link acionado ou arquivo aberto implica em um ataque ramsoware, na extração de dados sigilosos, instalação de um backdoor ou outra situação que certamente será fonte de dor de cabeça.
O Phishing e suas variantes
O phishing funciona porque os criminosos são muito bons em enganar as pessoas. Eles usam técnicas de engenharia social para fazer com que as pessoas acreditem que eles originam de uma pessoa ou organização confiável. A intenção é roubar suas informações pessoais, como senhas, números de cartão de crédito ou outras informações confidenciais.
O Email Phishing é a forma mais comum de phishing, onde os golpistas enviam emails que parecem ser de empresas legítimas para induzir as pessoas a fornecer informações pessoais, mas existem diversas outras, como por exemplo:
- Spear Phishing: Uma forma mais direcionada de phishing, onde o atacante personaliza o ataque a uma vítima específica, muitas vezes usando informações que foram coletadas previamente sobre a pessoa para tornar o ataque mais convincente.
- Whaling: Um tipo de spear phishing que visa altos executivos ou indivíduos de alto perfil dentro de uma organização. Os ataques de whaling são geralmente mais sofisticados e envolvem uma pesquisa mais aprofundada sobre o alvo.
- Vishing (Voice Phishing): Utiliza chamadas telefônicas para enganar as vítimas. Os golpistas podem se passar por representantes de bancos ou outras instituições para obter informações pessoais.
- Smishing (SMS Phishing): Semelhante ao vishing, mas usa mensagens de texto (SMS) para atrair vítimas com links maliciosos ou solicitações de informações pessoais.
O ChatGPT e as recentes tecnologias de IA potencializaram tanto o volume quanto a eficácia dos ataques de phishing. Em estudo recente publicado pela Egress, fornecedora de serviços de segurança de email, constatou-se que 71% dos ataques gerados por IA passam despercebidos pelas ferramentas de prevenção.
A vítima pode ser qualquer pessoa. Pode se pensar que as pessoas mais novas são mais sagazes em se prevenir, pois nasceram já no ambiente digital. No entanto, o tema é controverso. Estudos recentes indicam que a Geração Z está três vezes mais propensa a cair em golpes online do que os Baby Boomers. Isso se deve, em parte, à sua maior familiaridade com a tecnologia e à menor experiência em identificar tentativas de phishing. Baby Boomers, por outro lado, apesar de serem menos propensos a clicar em links maliciosos, podem ser mais vulneráveis a golpes de engenharia social, como os ataques de comprometimento de e-mail comercial (BEC). Isso ocorre porque eles podem ser menos céticos em relação a e-mails e telefonemas aparentemente legítimos.
Proteja-se contra phishing – Como sobreviver nesse ambiente inóspito
Soluções podem ser tecnológicas: soluções antispam, que avaliam a reputação de quem envia o email, soluções antimalware que avaliam o conteúdo do email (links e anexos);
Soluções podem ser procedimentais: garantir a boa gestão dos dispositivos, mantendo os sistemas operacionais e aplicativos sempre atualizados, evitando a exploração de vulnerabilidades. Execução de backups dos dispositivos e de repositórios de informações e dados, etc…
Mas de nada adianta tudo isso, se lembrarmos daquele estudo onde falou-se dos 71% (isso mesmo, quase 3 em cada 4) ataques passam despercebidos!
A principal forma de mitigar o risco é a educação! A educação digital… A educação digital deve introduzir o assunto de phishing para todos os usuários de tecnologia, de forma recorrente, mostrando o que é e dando ferramentas intelectuais para as pessoas identificarem os ataques. Além de apresentações recorrentes, existem ferramentas que simulam ataques phishing para avaliar o cuidado das pessoas ao receber e-mails suspeitos. Não poupemos esforços!