EBOOK

your-email@company.com

P I H
A maior ameaça do mundo digital

gatefy.com
Conteúdo

03 04
Contexto dos ataques de phishing Phishing em números

05 06
O que é phishing O que é spear phishing

07 08
Alvos e como funcionam os ataques Objetivos por trás da trapaça

09 10
Características comuns da fraude Técnicas utilizadas

11 12
Novos vetores e kit phishing Exemplos e assuntos mais utilizados

13 14
BEC (Business Email Compromise) Dicas de proteção contra phishing

15
A melhor arma: Inteligência artificial
Contexto dos ataques de phishing
O nome phishing vem do inglês “fishing”, que significa pescaria. É um nome
sugestivo, uma vez que o objetivo da fraude é justamente pescar informações
valiosas, como, por exemplo, o número do seu cartão de crédito ou as credenciais
de login que acessam o sistema da sua empresa ou o seu e-mail.

Os ataques de phishing, geralmente, acontecem via e-mails e sites maliciosos. É

assim que os cibercriminosos, também chamados de phishers, mais atacam. Eles
se passam por uma pessoa, empresa ou organização que você conhece. Deste
modo, baseado numa relação de confiança, eles têm mais poder de persuasão.

A maior ameaça do mundo digital

O phishing está presente em praticamente todos os relatórios de cibersegurança do

mundo. É difícil falar hoje de ciberameaças sem falar de phishing. De acordo com o
FBI, o phishing é o golpe cibernético mais cometido no mundo todo, afetando
milhares de pessoas e empresas todos os dias.

Segundo a agência dos Estados Unidos, houve um aumento gigantesco no número

de reclamações envolvendo phishing. Em 2019, foram registrados 114.702 casos.
Em 2018, houve apenas 26.379 reclamações.

Em termos de número de vítimas, o phishing subiu do quinto lugar em 2018 para

ocupar o topo da lista em 2019. O valor estimado em perdas financeiras chega a
quase USD 58 milhões. É muito dinheiro!

De acordo com relatório da Europol, cerca de 32% dos vazamentos de dados

envolvem phishing. Um relatório da Microsoft aponta ainda que o número de
ataques de phishing aumentou 250% em 2018.

É um crescimento astronômico, levando em conta que a Microsoft analisa

mensalmente mais de 470 bilhões de e-mails de usuários do Office 365.

Se pensarmos em casos não reportados, a situação é ainda mais crítica. De todo

modo, este guia foi pensado para que você entenda melhor esse tipo de ameaça e
saiba proteger os seus dados e a sua empresa.
 Phishing causou Mais de
USD 58 milhões 114.000 casos
em prejuízos em 2019 registrados em 2019

32% dos casos de

vazamentos de dados
envolvem phishing

78% dos incidentes de

ciberespionagem
envolvem phishing

Em violações com phishing e 48% dos arquivos maliciosos

engenharia social, os dados usados em golpes de phishing
mais comprometidos são: de e-mail são arquivos do Office.

1. Credenciais
2. Dados pessoais
3. Dados internos 65% dos grupos de cibercriminosos
4. Dados médicos utilizam spear phishing como forma
de hackear empresas e organizações.
5. Dados bancários

Fontes FBI, Europol,

Verizon e Microsoft
O que é phishing
Você provavelmente já recebeu um e-mail suspeito que tentou enganá-lo para clicar em um
link, fazer o download de um arquivo, preencher um formulário ou fornecer informações do
seu cartão de crédito. É disso que os golpes de phishing se tratam.

O e-mail é a principal isca que os fraudadores usam para fisgar a sua confiança e depois os
seus dados e informações. O phishing acontece justamente quando um criminoso se passa
por uma pessoa, empresa ou organização para atrair a sua atenção e depois te enganar. É um
ataque muito ligado a casos de vazamentos de dados em empresas.

A grande maioria dos golpes de phishing ocorre por e-mail, mas há também inúmeros casos
de phishing sendo aplicados via mensagem de texto, telefonema e rede social, por exemplo.

Variações do ataque
O phishing é também conhecido como vishing, smishing e pharming. Estas são variações da
ameaça, que geralmente acontece via e-mail.

Vishing...
São golpes que acontecem via telefone ou voz.

Smishing...
São golpes que ocorrem via mensagens de texto ou SMS.

Pharming...
São fraudes que ocorrem quando código malicioso é
instalado para redirecioná-lo para sites falsos.

Phishing 5
 O que é
Spear Phishing
Phishing e spear phishing são praticamente
o mesmo golpe. Praticamente!

Os ataques de phishing costumam ser

campanhas massivas. Ou seja, mensagens
maliciosas são enviadas para milhares ou
milhões de pessoas ao mesmo tempo.
O objetivo aqui é enganar o maior número de pessoas possível com o mínimo esforço.
Quanto mais vítimas, mais rentável é o golpe. Estamos falando de volume.

Como normalmente incluem uma oferta lucrativa ou uma solicitação de ação urgente, como,
por exemplo, um formulário que o seu banco está solicitando que você preencha o mais
rápido possível, as campanhas de phishing se espalham rapidamente.

Spear phishing = alvos bem definidos

O spear phishing, por outro lado, é altamente segmentado. Nós gostamos de dizer que o
spear phishing é a evolução do phishing. Por isso, costuma ser mais perigoso e danoso. Em
ataques de spear phishing, os cibercriminosos estudam sobre as suas vítimas e usam a
engenharia social com muito mais intensidade para dar mais credibilidade à mensagem.

Em vez de tentar se passar por empresas e marcas conhecidas, eles vão para um nível mais
pessoal, tentando se passar por alguém que a vítima conhece. Por isso, eles geralmente se
apresentam como o CEO da empresa, um colega de trabalho ou um parceiro de negócios.

Além do roubo de dinheiro, o spear phishing é muito utilizado para infectar sistemas com
malware, com os objetivos de monitorar a rotina da vítima e de roubar informações sigilosas,
como segredos comerciais e dados de clientes ou funcionários.

Um dos casos mais emblemáticos de spear phishing é a eleição presidencial dos Estados
Unidos, em 2016. Ataques de spear phishing geraram o vazamento de informações
importantes do Partido Democrata que podem ter influenciado o resultado das eleições,
com a vitória de Donald Trump sobre Hillary Clinton.

Phishing 6
Alvos de ataques de phishing
O phishing é um dos ataques mais utilizados por hackers porque é
muito mais simples enganar e persuadir alguém com um e-mail, por
exemplo, do que invadir um computador.

Qualquer pessoa ou empresa, independentemente do porte e do

setor, é uma potencial vítima de ataque de phishing. A Europol, no
entanto, fez uma ressalva em um relatório.

"Enquanto o setor financeiro é, e sempre será, um alvo significativo

para esses ataques, os relatórios do setor indicam que a maioria dos
ataques de phishing está atualmente alvejando estruturas de
Software-as-a-Service (Saas), como serviços em nuvem e webmail",
pontua a agência europeia.

Como funciona o golpe

Os ataques de phishing dependem do fator humano (ou da falha
humana). Isto quer dizer que esse tipo de golpe só tem sucesso
quando alguém acredita nele.

O phishing não é um ataque que depende de vulnerabilidade de uma

máquina, software ou hardware. O phishing é sobre a vulnerabilidade
humana. O fraudador lança a isca e alguém precisa mordê-la.

Em casos de ataques de phishing via e-mail, geralmente, as vítimas

recebem uma mensagem com uma solicitação urgente, que pode
conter URLs e anexos maliciosos.

Imagine que você recebeu um suposto e-mail da Apple, da Microsoft

ou da Netflix, por exemplo. A mensagem pede que você clique em
um link para atualizar informações de pagamento. O que você não
percebeu é que o link direciona para uma página falsa.

No caso de um anexo malicioso, o risco é maior ainda. Você pode

ser infectado por um ransomware ou trojan, por exemplo.

Phishing 7
Objetivos por trás da trapaça
O phishing é usado também como uma maneira do invasor se estabelecer dentro de uma
rede ou dispositivo. É o primeiro passo de um ataque maior, como, por exemplo, um evento
de ameaça persistente avançada (APT). Confira agora outros objetivos por trás do golpe.

1. Roubo de informações 2. Pagamento de contas

confidenciais
Um dos principais objetivos dos
phishers é roubar dados valiosos que
podem ser utilizados em novas
fraudes, como as informações e
dados dos seus clientes.
fraudulentas
Outro objetivo comum dos phishers é
se passar por um parceiro de negócio
ou prestador de serviço com a
intenção que você justamente pague
contas fraudulentas.

3. Roubo de credenciais 4. Acesso aos dispositivos

de acesso
O roubo de credenciais de acesso é
outro objetivo comum em casos de
phishing. Imagine que o phisher pode
comprometer o e-mail de um
funcionário para solicitar pagamentos
ou enganar clientes.
da vítima
O fraudador pode usar phishing
também para infectar a sua máquina
com malware, podendo sequestrar
suas informações ou tornar sua
máquina em um zumbi, para ataques
de negação de serviço (DDoS).

Phishing 8
Características comuns da fraude
Os golpes de phishing têm se tornado mais difíceis de serem detectados. Mas, apesar disso,
a grande maioria dos ataques possui algumas características em comum.

1. Assuntos urgentes e atraentes. Se o e-mail diz respeito a uma super oferta ou exige que
você tome uma ação rapidamente, fique alerta. O senso de urgência é uma das principais
características de phishing.

2. Produtos milagrosos. Mensagens sobre produtos e promessas milagrosas são fraudes.

Não interaja com e-mails que prometem, rapidamente, queimar gordura ou resolver os seus
problemas financeiros.

3. Remetente suspeito. Você tem o costume de checar com atenção o remetente dos e-mails
que recebe? Os phishers geralmente usam endereços de e-mail similares aos legítimos,
apenas adicionando ou invertendo letras.

4. Problemas de ortografia e gramática. Um dos principais sinais de phishing são os erros de

gramática e ortografia no e-mail. Isto acontece porque muitas vezes o fraudador não conhece
muito bem a sua língua.

5. Links estranhos. Os phishers utilizam muito links maliciosos. Sempre examine com
atenção os links contidos em e-mails. Caso você tenha clicado em um link, analise também o
endereço do website. Em caso de dúvidas: feche a página.

6. Anexos suspeitos. Anexos são muito perigosos porque eles envolvem malware e outras
ameaças, como, por exemplo, ransomware, trojan e spyware. Por isso, não interaja com
anexos que você não estava esperando.

7. Solicitação de informações confidenciais. Independentemente do remetente, suspeite de

qualquer mensagem que esteja requisitando informações confidenciais, como dados de
cartão de crédito ou a lista de contato dos funcionários da empresa.

8. Campo “Para”. Os e-mails de phishing geralmente são genéricos e, por isso, podem tratar
você apenas pelo codinome de “cliente” ou “usuário”. Este é mais um indicativo de que a
mensagem pode se tratar de um golpe.

Phishing 9
Técnicas usadas
em esquemas de phishing

Engenharia Social...
Quando falamos de engenharia social, abordamos
táticas que envolvem persuasão e mentira. A
engenharia social é uma das principais técnicas de
golpes de phishing. Ela inclui métodos de pesquisa e
manipulação, como vasculhar a vida da vítima, que
auxiliam o criminoso a criar fraudes quase perfeitas.

Spoofing...
O spoofing tem relação com a criação de endereços
de e-mail e de site falsificados. Quando utiliza
spoofing, o phisher está tentando imitar um
endereço legítimo. O objetivo dele é que você não
perceba, por exemplo, que apenas uma letra foi
adicionada em um endereço de e-mail.

Impersonation...
O impersonation também é muito utilizado pelos
phishers. Impersonation é o nome da técnica usada
para imitar ou assumir a identidade de outra pessoa,
ou até de uma marca. Os phishers são mestres
nisso. Eles investigam a fundo a vida de seus alvos,
para aprender padrões e depois replicá-los.

Phishing 10
Novos vetores de ataque:
Redes sociais e outros serviços
Com a popularização das redes sociais, dos aplicativos de mensagens e dos serviços de
compartilhamento de arquivos, os phishers encontraram novos vetores de ataques. A grande
questão aqui é que eles se aproveitam da confiança que existe nessas plataformas.

Provavelmente, você já deve ter recebido uma mensagem

suspeita em uma das suas mídias sociais pedindo para
abrir um link e ainda compartilhar a mensagem.

Quando a mensagem é compartilhada por alguém

conhecido, as chances de sucesso do fraudador são
maiores. E basta que apenas uma pessoa caia no golpe
para que ele se propague de modo mais consistente.

Diferentes plataformas têm sido usadas, como Facebook, Instagram, Slack, Skype,
WhatsApp, Dropbox, ShareFile, WeTransfer e documentos do Google, por exemplo.

Quem quer comprar um kit de phishing?

Os kits de phishing são um conjunto de ferramentas e templates maliciosos prontos para o
uso. Os kits, geralmente, são vendidos na dark web e podem custar de algumas dezenas a
centenas de dólares, a depender do grau de sofisticação.

O grande problema dos kits é que eles ajudam a propagar

ainda mais os golpes de phishing. Em outras palavras,
criminosos sem grandes conhecimentos técnicos agora
têm acesso a ferramentas sofisticadas de fraude.

Apesar de se tratar de um kit, essas ferramentas têm um

alto grau de customização. Elas permitem, por exemplo,
que os compradores alterem questionários e cores.

As fraudes de kits de phishing usualmente envolvem marcas nacionalmente conhecidas.

Phishing 11
Exemplos e assuntos
mais utilizados nas fraudes
Confira uma lista de abordagens comuns de phishing.
Lembre-se: e-mails maliciosos têm um senso de urgência e
costumam usar palavras como “notificação”, “mudança”,
“segurança”, “atualização”, “verificação” e “alerta”.

❖ Notificação de encerramento da sua conta

❖ Problemas de suporte técnico

❖ Soluções para doenças e problemas de saúde

❖ Mensagem do seu departamento de RH

❖ Arquivo compartilhado: Google Drive e Dropbox

❖ Atividade suspeita no seu celular ou computador

❖ Atualize as suas informações

❖ Armazenamento do seu e-mail está quase cheio

❖ Atualização de entrega das compras que você fez

❖ Namoro ou fraude do príncipe nigeriano

❖ Você cometeu um crime

❖ Mudança ou verificação de senha

❖ Novo dispositivo detectado

❖ Erro no endereço de cobrança ou envio

❖ Atualização da política da empresa

❖ Alerta de segurança: sua conta foi comprometida

❖ Apresentação de documentos e reembolso

Phishing 12
Sim, vamos falar sobre
Business Email Compromise (BEC)
BEC é um ataque cibernético avançado que tem o objetivo de persuadir funcionários de
empresas e governos a realizar uma ação específica, como, por exemplo, fazer uma
transferência eletrônica ou fornecer informações confidenciais.

Os golpes de Business Email Compromise são conhecidos também como Fraude do CEO e
golpe do Man-in-the-Email.

O BEC acontece quando um criminoso compromete uma conta de e-mail corporativa para
enganar outras pessoas. A intenção é persuadir pessoas de dentro da própria empresa ou
até mesmo parceiros, fornecedores e clientes.

Frequentemente, a fraude acontece também quando o invasor cria uma conta de e-mail
quase idêntica à conta legítima, alterando mínimos detalhes, para então imitar ou se passar
pelo proprietário do e-mail.

Em 2019, houve 23.775 casos de BEC reportados, totalizando

prejuízo de USD 1.7 bilhão. Segundo o FBI, o valor total de
perdas devido a ciberataques em 2019 chega a USD 3.5
bilhões. O BEC representa sozinho quase a metade de todo o
dano financeiro causado por crimes na internet em 2019.

BEC causou Mais de

USD 26 bilhões 166.000 casos
em perdas de registrados de BEC
2016 a 2019 de 2016 a 2019

Phishing 13
Dicas de proteção contra
Phishing
Em alguns casos, é difícil mesmo identificar um golpe de phishing.
Mas há algumas medidas que podem ser tomadas para conter o
avanço deste tipo de ameaça.

No caso de um usuário comum

1. Utilize senhas complexas e longas.
2. Não use a mesma senha para diferentes contas.
3. Sempre confira quem são os remetentes dos e-mails.
4. Tenha cuidado com links.
5. Tenha ainda mais cuidado com anexos.
6. Não responda e-mails suspeitos.
7. Procure outras maneiras de confirmar uma informação.

Se você faz parte de uma empresa

1. O seu time precisa estar treinado para reconhecer

diferentes tipos de ameaças, incluindo phishing.
2. Adote autenticação multifator para processos importantes,
como recuperação de contas de e-mail e pagamentos por
transferência eletrônica.
3. Monitore quem acessa os seus sistemas e estabeleça uma
política com diferentes níveis de permissão de acesso a
dados e informações confidenciais.
4. Estabeleça uma política de e-mail rigorosa para
palavras-chave como “pagamento”, “fatura” e “transferência
eletrônica”.
5. Tenha controle do domínio da sua empresa com DMARC.
6. Tenha um plano de resposta a incidentes.
7. Utilize uma solução de proteção de e-mail (Secure Email
Gateway), com inteligência artificial e machine learning.

Guia sobre
Phishing
BEC 13
14
A melhor arma:
Inteligência Artificial
A inteligência artificial (IA) é a melhor
maneira de combater ataques de phishing.
Mas por quê?

Além de analisar e categorizar e-mails no

momento em que eles chegam, um sistema
de IA pode fazer isso em uma escala
maior com muito mais rapidez e
precisão quando comparada ao modelo
tradicional baseado somente em regras.

Usando banco de dados e análise de big

data, a IA identifica spam, phishing, spear
phishing e outros tipos de ataques, levando em
consideração o conteúdo e o contexto da mensagem.

Como um sistema de inteligência atua?

★ Buscando anomalias e sinais de alerta
Sistemas eficazes de inteligência artificial procuram anomalias e sinais de alerta para
phishing em todo o e-mail, desde os metadados até o conteúdo da mensagem. Isso inclui,
por exemplo, alertas com base no comportamento do e-mail (por exemplo, remetentes
forjados) e na intenção da mensagem (como tópicos urgentes).

★ Analisando o contexto da mensagem

A IA é capaz de examinar uma mensagem com base no contexto. Desta forma, um e-mail não
é apenas comparado a outros golpes de phishing existentes. A mensagem é analisada como
um todo, dentro do próprio contexto em que ela está inserida.

★ Compreendendo como os usuários se comunicam

Combater golpes avançados de phishing requer o uso de algoritmos e de IA que possam
entender como os usuários se comunicam. O sistema tem que aprender com os usuários,
precisa entender comportamentos típicos e padrões textuais, por exemplo.

Phishing 15
Conheça o Gatefy Email Security
A Gatefy possui uma solução de Secure Email Gateway batizada de Gatefy Email Security.
Explicando de maneira simples e rápida, é uma solução desenvolvida com base em
inteligência artificial e machine learning para que empresas e organizações de todos os
tamanhos possam se proteger contra diferentes tipos de ataques, incluindo BEC (Business
Email Compromise), spam, phishing e ransomware.

Por ter uma versão disponível em nuvem, a implantação do Gatefy Email Security é rápida e
fácil, não exigindo grandes conhecimentos técnicos. Ele pode ainda ser integrado a vários
provedores e plataformas de e-mail, como Office 365, Exchange, G Suite e Zimbra.

Conheça o Gatefy Anti-Fraud Protection

O Gatefy Anti-Fraud Protection é uma solução SaaS que automatiza o processo de
autenticação e aplicação de e-mail DMARC. A solução ajuda a sua empresa a se proteger
contra golpes, a evitar abusos de marca e a melhorar a capacidade de entrega de e-mails.

A solução de proteção anti-fraude da Gatefy fornece total visibilidade sobre o domínio da sua
empresa, bloqueando cibercriminosos que tentam usar o seu domínio para enviar e-mails
maliciosos com a intenção de enganar funcionários, clientes e parceiros. Em outras palavras,
ela também protege a sua empresa contra golpes de BEC.

A implantação em nuvem e a compatibilidade com diferentes plataformas, como o Office 365

e o G Suite, também reduzem a complexidade e tornam o processo de adesão simples.

Para saber mais sobre as nossas soluções, acesse gatefy.com.

Phishing 16
Sobre Nós
Gatefy é uma empresa de segurança cibernética especializada em
inteligência artificial e machine learning. O nosso objetivo é auxiliar
empresas de todos os tamanhos a combater ciberameaças,
garantindo a proteção de funcionários, dados e informações.

Quer conhecer mais sobre nós?

Visite gatefy.com.

Quer ler notícias sobre cibersegurança, ataques e ameaças?

Acesse o nosso blog: gatefy.com/pt-br/noticias.

Conecte-se com a Gatefy

LinkedIn
Twitter

Conheça as
nossas soluções!
Solicite uma demo
em gatefy.com