O erro que custou 100 milhões de euros em prejuízo ao Google que pode acontecer na sua empresa

O ano era 1996 e ali se iniciava o ciberataque malicioso que pode transpor qualquer firewall ou antivírus. O Brasil viu um aumento de mais de 61% dos ataques de malware entre 2020 e 2021 segundo a SonicWall. Estamos em 2022 e nos dias atuais cada vez mais surgem soluções capazes de prevenir e remediar situações de ciberataques, auxiliando à reforçar a segurança de rede das empresas, mas ainda assim existe um tipo de ataque que pode transpor a cibersegurança. O Phishing é um tipo de ataque capaz de invadir sem alarmar sistemas de segurança.

As primeiras ocorrências registradas foram em 1996, na época ainda utilizávamos disquetes e nesse tempo o acesso à Internet acontecia, em sua grande maioria, pelo telefone (a famosa Internet discada), só de falar já me recordo do característico ruído de conexão, as fotos que demoravam eras para carregar por inteiro. Para que você conseguisse acesso à rede era necessário login, senha e um cartão de crédito para realizar o cadastro no provedor, na época o líder de mercado era a AOL. Assim como hoje em dia a Netflix oferece 30 dias de teste gratuito, naquele tempo a AOL oferecia 30 dias de teste com sua Internet gratuitamente para novos usuários.


Com o uso de disquetes e outros meios (e-mail, telefone, etc) os golpistas criavam um ambiente semelhante ao original da AOL, que ao solicitar os dados do usuário para cadastro, na realidade estava enviando para um servidor remoto estes dados que eram vendidos e utilizados para criar novos cadastros na AOL e assim possibilitavam a venda ao acesso à Internet por 30 dias a um valor menor ou utilizavam para si e assim não pagavam pela Internet. Com as novas contas, os golpistas enviam mensagens de spam para outros usuários, conseguindo novos acessos e outros tipos de informações. O processo na época era feito através de um sistema de mensagens instantâneas, onde os golpistas acabavam se passando por funcionários da AOL. Para isso, as mensagens solicitavam que os usuários verificassem suas contas ou confirmassem informações e métodos de pagamento, quando adicionavam as informações no formulário falso o golpe estava completo. Assim começava um modus operandi que certamente lhe é familiar, pois esse tipo de golpe permanece ocorrendo todos os dias desde então.

Mas e então, o que é o PHISHING?

Segundo a PSAFE Brasil o phishing é um tipo de ciberataque que se assemelha a uma pescaria digital, ocorre via e-mail, mas também pode aparecer em forma de ligações (as famosas ligações “confirma os 3 primeiros dígitos do seu CPF por favor?” em alguns casos o que ocorre é uma tentativa de phishing), mensagens em redes sociais e SMS. O que mais vemos sobre PHISHING nos dias atuais é ofertas de emprego que solicitam informações como e-mail, telefone, nome, endereço e as vezes até o envio do currículo com CPF e foto 3×4. O que normalmente rende muito resultado, pois, o phishing funciona justamente tirando vantagem da falta de informação das pessoas, induzindo a clicar em links suspeitos ou preencher formulários maliciosos.

Toda operação que envolve pessoas está sujeita a sofrer um ataque phishing, como por exemplo em 2010, quando o Twitter foi alvo de ataques, que objetivava diversos usuários se utilizando de mensagens tentadoras, com links suspeitos. Muitos usuários acabaram caindo nessa pescaria e tiveram dados sequestrados, bem como senhas. Aqui a solução foi simples, um reset total das senhas dos usuários afetados bastou para recuperar a conta. Soluções cofre de senhas com gestão automatizada, como por exemplo o PasswordManager Plus da ManageEngine, pode muito bem dar conta de reforçar a segurança da rede de sua empresa através do gerenciamento de senhas, bem como o próprio Password Manager Pro (também em versão MSP) como referência em solução de PAM.

Temos também a exemplo Facebook e Google, que há alguns anos sofreu um ataque phishing responsável por fazer as empresas perderem 100 milhões de euros, desviados por um hacker que se passava por um representante da Quanta Computer, empresa que os tinha como cliente. Não muito distante, tente lembrar daquele parente que já clicou em algum link supeito e de repente o computador ou celular estava repleto de propagandas aleatórias que ninguém sabe como foi parar ali e muito menos como as tirar. Mas existem algumas medidas que devem ser essenciais para toda pessoa, seja profissional da TI ou não, que auxiliam à evitar esse tipo de ataque, vou citá-las a seguir;

Como evitar Ataques PHISHING

1. Software de segurança de Internet, para lhe auxiliar contra spam e malwares.
2. Gerenciamento de senhas facilitado, auxiliando a administrar suas credenciais online (uma senha diferente para cada site ou plataforma é sempre essencial e um software cofre de senhas pode auxiliar nisso).
3. Verifique os links e e-mails recebidos: e-mails com mensagens que solicitam seu clique ou preenchimento de formulários sempre podem conter riscos, a menos que confie no endereço remetente e conteúdo do e-mail, jamais clique nos links sugeridos (links e anexos sempre serão suspeitos).
4. Não preencha formulários e senhas em sites aleatórios na internet. Procure o prefixo “https” antes do URL do site, indicando que a conexão ao site é segura. Caso algo esteja estranho, digite seu usuário corretamente porém erre de propósito a senha, se passar para uma próxima página, tem algo errado. O ADSelfService Plus da ManageEngine é a solução perfeita para esses casos.

5. Bancos e outras Organizações financeiras não solicitam troca de senha, principalmente por e-mail. Quem faz essa solicitação sempre é o usuário, por isso saiba se foi realmente você quem solicitou ou não.
6. Verifique os links e sites que você está realizando uma compra virtual. Por vezes e-mails e sites parecerão reais. Mas os links, provavelmente, estarão incorretos – com erros ortográficos ou claramente o redirecionam para outro local. Isso acontece muito em e-mail com produtos muito abaixo do preço. Quanto maior o nível de absurdo em um anúncio (principalmente preço baixo) maior os riscos de ser um ataque phishing.
7. Não acesse redes públicas de wi-fi pela cidade. As redes abertas podem ser criadas por criminosos que, entre outras coisas, falsificam endereços de sites pela conexão e, assim, redirecionam você para páginas ou sites inteiramente falsos.
8. Tenha sempre um bom firewall e antivírus em sua rede, bem como dados analíticos a respeito deles.

Existem algumas soluções que além de oferecer segurança para senhas, prevenindo certos tipos de phishing, também garantem a integridade de sua rede, bem como o fácil gerenciamento.

ACSoftware revenda e distribuidora ManageEngine no Brasil. – Fone / WhatsApp (11) 4063 9639.


PodCafé da TI – Podcast, Tecnologia e Cafeína.

SpotifyApple PodcastsGoogle PodcastsDeezerYouTube

Deixe um comentário

Blog ACSoftware - ManageEngine