O que é phishing?

O phishing é um tipo de ataque de segurança cibernética durante o qual agentes mal-intencionados enviam mensagens fingindo ser uma pessoa ou entidade confiável. As mensagens de phishing manipulam o usuário, fazendo com que ele execute ações como instalar um arquivo malicioso, clicar em um link malicioso ou divulgar informações confidenciais, como credenciais de acesso.

O phishing é o tipo mais comum de engenharia social, que é um termo geral para descrever tentativas de manipular ou enganar usuários de computador. A engenharia social é um vetor de ameaça cada vez mais comum usado em quase todos os incidentes de segurança. Os ataques de engenharia social, como o phishing, geralmente são combinados com outras ameaças, como malware, injeção de código e ataques à rede.

The latest phishing handbook Check Point Email Security

O que é phishing? Tipos de ataques de phishing

Ataques phishing : estatísticas e exemplos

Recent findings from Check Point’s latest cyber‑security research show that phishing has evolved far beyond the traditional email‑based scams once marked by obvious spelling or formatting errors. Today, phishing is deeply intertwined with AI‑driven social engineering techniques, where attackers use AI‑generated text, audio, and video to create highly convincing impersonations at scale. These advancements eliminate the familiar red flags of past phishing attempts, making fraudulent messages, fake platforms, and impersonation scams far harder for users to detect.
Moreover, phishing now plays a central role in broader cyber‑criminal ecosystems. Fake AI platforms—such as malicious “AI‑service” sites that appear legitimate but instead steal credentials—are increasingly used to distribute malware or harvest sensitive data. Attackers also leverage credential theft from phishing to access AI service accounts, which are later resold in bulk across dark‑web marketplaces and used to automate further malicious activity, including crafting phishing content itself.
Phishing continues to support the delivery of prominent malware types as well. In modern ransomware operations, AI‑generated phishing emails, deepfake audio, and other impersonation techniques are used to gain initial access or escalate privileges before an attack unfolds.

Como funciona o phishing

O elemento básico de um ataque de phishing é uma mensagem enviada por e-mail, mídia social ou outro meio de comunicação eletrônica.

Um phisher pode usar recursos públicos, especialmente redes sociais, para coletar informações básicas sobre a experiência pessoal e profissional de sua vítima. Essas fontes são usadas para coletar informações como nome da vítima em potencial, cargo e endereço de e-mail, bem como interesses e atividades. O phisher pode então usar essas informações para criar uma mensagem falsa confiável.

Normalmente, os e-mails que a vítima recebe parecem vir de um contato ou organização conhecida. Os ataques são realizados por meio de anexos maliciosos ou links para sites maliciosos. Os invasores geralmente criam sites falsos, que parecem pertencer a uma entidade confiável, como o banco, o local de trabalho ou a universidade da vítima. Por meio desses sites, os invasores tentam coletar informações privadas, como nomes de usuário e senhas ou informações de pagamento.

Alguns e-mails de phishing podem ser identificados devido à má redação e ao uso inadequado de fontes, logotipos e layouts. No entanto, muitos cibercriminosos estão se tornando mais sofisticados na criação de mensagens que parecem autênticas e estão usando técnicas profissionais de marketing para testar e melhorar a eficácia de seus e-mails.

Técnicas comuns de phishing

phishingde e-mail

Os phishers usam uma variedade de técnicas para fazer com que seus ataques pareçam mais confiáveis para seus alvos e para atingir seus objetivos. Algumas técnicas comuns de phishing incluem:

  • Engenharia social: A engenharia social usa a psicologia para manipular os alvos dos ataques de phishing. Um phisher pode usar o engano, a coerção, o suborno ou outras técnicas para atingir seu objetivo.
  • Typosquatting: Os phishers podem usar domínios e URLs muito semelhantes aos de um domínio legítimo e confiável. Se o alvo não estiver bem atento, pode acreditar que o link é legítimo.
  • Falsificação de e-mail: um e-mail falsificado é projetado para que o nome de exibição do e-mail pertença a alguém em quem o destinatário confia. O campo do remetente em um e-mail é apenas de dados e está sob controle do remetente. Os phishers usam esse fato para fazer com que os e-mails pareçam vir de contas de e-mail confiáveis.
  • Encurtamento de URL: Encurtadores de links, como o bit.ly, ocultam o destino de um URL. Os phishers usam isso para induzir o alvo a clicar em um link para uma página de phishing.
  • Redirecionamentos mal-intencionados: Os redirecionamentos são projetados para enviar um navegador para outra página se o URL original estiver indisponível, incorreto ou desatualizado. Os redirecionamentos mal-intencionados podem ser usados para enviar um usuário a uma página de phishing em vez de uma página legítima.
  • Links ocultos: os links podem estar ocultos em textos ou imagens aparentemente inofensivos. Se um usuário clicar acidentalmente no link oculto, ele será enviado para uma página de phishing.

5 tipos de ataques de phishing

#1. Phishing de e-mail

A maioria dos ataques de phishing é enviada por e-mail. Os invasores normalmente registram nomes de domínio falsos que imitam organizações reais e enviam milhares de solicitações comuns às vítimas.

Para domínios falsos, os invasores podem adicionar ou substituir caracteres (por exemplo, my-bank.com em vez de mybank.com), use subdomínios (por exemplo, mybank.host.com), ou use o nome da organização confiável como nome de usuário do e-mail (por exemplo, mybank@host.com).

Muitos e-mails de phishing usam um senso de urgência ou uma ameaça para fazer com que o usuário cumpra rapidamente o que foi solicitado, sem verificar a origem ou a autenticidade do e-mail.

As mensagens de phishing por e-mail têm um dos seguintes objetivos:

  • Fazendo com que o usuário clique em um link para um site malicioso a fim de instalar malware no dispositivo.
  • Fazer com que o usuário baixe um arquivo infectado e usá-lo para implantar malware.
  • Fazendo com que o usuário clique em um link para um site falso e envie dados pessoais.
  • Fazendo com que o usuário responda e forneça dados pessoais.

#2. Spear phishing

O Spear phishing inclui e-mails maliciosos enviados a pessoas específicas. Normalmente, o invasor já tem algumas ou todas as seguintes informações sobre a vítima:

  • Nome
  • Local de trabalho
  • Cargo
  • Endereço de email
  • Informações específicas sobre sua função
  • Colegas de confiança, familiares ou outros contatos e exemplos de sua escrita

Essas informações ajudam a aumentar a eficácia dos e-mails de phishing e a manipular as vítimas para que executem tarefas e atividades, como transferência de dinheiro.

#3. Whaling

Os ataques de whaling têm como alvo a gerência sênior e outras funções altamente privilegiadas. O objetivo final do whaling é o mesmo de outros tipos de ataques de phishing, mas a técnica costuma ser muito sutil. Funcionários seniores geralmente têm muitas informações em domínio público, e os atacantes podem usar essas informações para criar ataques altamente eficazes.

Normalmente, esses ataques não usam truques como URLs maliciosos e links falsos. Na verdade, eles aproveitam mensagens altamente personalizadas usando informações que descobrem em suas pesquisas sobre a vítima. Por exemplo, os atacantes de whaling geralmente usam declarações fiscais falsas para descobrir dados confidenciais sobre a vítima e usá-los para criar seu ataque.

#4. Smishing e vishing

É um ataque de phishing que usa o telefone em vez de comunicação por escrito. Smishing envolve o envio de mensagens SMS fraudulentas, enquanto vishing envolve conversas telefônicas.

Em um scam típico de phishing por voz, um invasor finge ser um investigador scam de uma empresa de cartão de crédito ou de um banco, informando às vítimas que sua conta foi violada. Os criminosos então pedem à vítima que forneça informações do cartão de pagamento, supostamente para verificar sua identidade ou transferir dinheiro para uma conta segura (que na verdade é do invasor).

O esquema de vishing também pode envolver chamadas telefônicas automatizadas que fingem ser de uma entidade confiável, solicitando que a vítima digite detalhes pessoais usando o teclado do telefone.

#5. Angler phishing

Esses ataques usam contas falsas de mídia social pertencentes a organizações conhecidas. O invasor usa um identificador de conta que imita uma organização legítima (por exemplo, “@pizzahutcustomercare”) e usa a mesma foto de perfil da conta real da empresa.

Os invasores aproveitam a tendência dos consumidores de fazer reclamações e solicitar assistência das marcas por meio dos canais de mídia social. Porém, em vez de entrar em contato com a marca real, o consumidor entra em contato com a conta social falsa do invasor.

Quando os invasores recebem tal solicitação, eles podem pedir ao cliente que forneça informações pessoais para que possam identificar o problema e responder adequadamente. Em outros casos, o invasor fornece um link para uma página falsa de suporte ao cliente, que na verdade é um site malicioso.

Quais são os sinais de phishing?

 

Ameaças ou senso de urgência

E-mails que ameaçam consequências negativas devem sempre ser tratados com ceticismo. Outra estratégia é usar a urgência para encorajar ou exigir ação imediata. Os phishers esperam que, ao ler o e-mail com pressa, não examinem minuciosamente o conteúdo e não descubram inconsistências.

Estilo de mensagem

Uma indicação imediata de phishing é o fato de uma mensagem ser escrita com linguagem ou tom inadequados. Se, por exemplo, um colega de trabalho parecer excessivamente casual ou um amigo próximo usar uma linguagem formal, isso deve gerar suspeitas. Os destinatários da mensagem devem verificar se há algo mais que possa indicar uma mensagem de phishing.

Solicitações incomuns

Se um e-mail exigir que você execute ações fora do padrão, isso pode indicar que o e-mail é malicioso. Por exemplo, se um e-mail afirma ser de uma equipe de TI específica e solicita a instalação de software, mas essas atividades geralmente são gerenciadas centralmente pelo departamento de TI, o e-mail provavelmente é malicioso.

Erros Linguísticos

Erros ortográficos e gramaticais são outro sinal de e-mails de phishing. A maioria das empresas configurou a verificação ortográfica em seus clientes de e-mail para e-mails enviados. Portanto, e-mails com erros ortográficos ou gramaticais devem levantar suspeitas, pois podem não ter origem na fonte reivindicada.

Inconsistências em endereços da Web

Outra maneira fácil de identificar possíveis ataques de phishing é procurar endereços de e-mail, links e nomes de domínio incompatíveis. Por exemplo, é uma boa ideia verificar uma comunicação anterior que corresponda ao endereço de e-mail do remetente.

Os destinatários devem sempre passar o mouse sobre um link em um e-mail antes de clicar nele para ver o destino real do link. Se acredita-se que o e-mail foi enviado pelo Bank of America, mas o domínio do endereço de e-mail não contém “bankofamerica.com”, isso é sinal de um e-mail de phishing.

Solicitação de credenciais, informações de pagamento ou outros detalhes pessoais

Em muitos e-mails de phishing, os invasores criam páginas de login falsas vinculadas a e-mails que parecem ser oficiais. A página de login falsa normalmente possui uma caixa de login ou uma solicitação de informações financeiras da conta. Se o e-mail for inesperado, o destinatário não deverá inserir credenciais de login nem clicar no link. Por precaução, os destinatários devem visitar diretamente o site que consideram ser a origem do e-mail.

Tipo de ataques de phishing

5 maneiras de proteger sua organização contra ataques de phishing

Aqui estão algumas maneiras pelas quais sua organização pode reduzir o risco de ataques de phishing.

#1. Treinamento de conscientização de funcionários

É fundamental treinar os funcionários para compreender as estratégias de phishing, identificar sinais de phishing e relatar incidentes suspeitos à equipe de segurança.

Da mesma forma, as organizações devem incentivar os funcionários a procurar crachás ou adesivos de confiança de empresas conhecidas de cibersegurança ou antivírus antes de interagir com um site. Isso mostra que o site leva a sério a segurança e provavelmente não é falso ou malicioso.

#2. Implante soluções de segurança de e-mail

Soluções modernas de filtragem de e-mail podem proteger contra malware e outras cargas maliciosas em mensagens de e-mail. As soluções podem detectar e-mails que contenham links maliciosos, anexos, conteúdo de spam e linguagem que possa sugerir um ataque de phishing.

As soluções de segurança de e-mail bloqueiam e colocam em quarentena automaticamente e-mails suspeitos e usam tecnologia de sandbox para “detonar” e-mails e verificar se contêm código malicioso.

#3. Use o monitoramento e a proteção de endpoints

O uso crescente de serviços em nuvem e dispositivos pessoais no local de trabalho introduziu muitos novos endpoint que podem não estar totalmente protegidos. As equipes de segurança devem presumir que alguns endpoints serão violados por ataques de endpoint. é essencial monitorar endpoint em busca de ameaças à segurança e implementar soluções e respostas rápidas no dispositivo comprometido.

#4. Realize testes de ataques de phishing

Os testes simulados de ataques de phishing podem ajudar as equipes de segurança a avaliar a eficácia dos programas de treinamento de conscientização de segurança e ajudar os usuários finais a entender melhor os ataques. Mesmo que seus funcionários sejam bons em encontrar mensagens suspeitas, eles devem ser testados regularmente para imitar ataques reais de phishing. O cenário de ameaças continua evoluindo, e as simulações de ataques cibernéticos também devem evoluir.

#5. Limite o acesso do usuário a sistemas e dados de alto valor

A maioria dos métodos de phishing são projetados para enganar operadores humanos, e contas de usuários privilegiados são alvos atraentes para os cibercriminosos. Restringir o acesso a sistemas e dados pode ajudar a proteger dados confidenciais contra vazamentos. Use o princípio do menor privilégio e conceda acesso apenas aos usuários que realmente precisam dele.

Proteja sua organização contra ataques de phishing

Proteção e prevenção contra phishing com a Check Point

Check Point Check Point Email Security provides robust anti-phishing defense, effectively countering phishing attacks. Recognized as a Leader in the 2023 Forrester Wave for Enterprise Email Security, it offers advanced protection for your organization.

Track for impersonations of your company, such as malicious lookalike domains and social media impersonations and take them down within 12 hours with Check Point Exposure Management. 

To learn more about how Check Point Email Security can safeguard your organization from the newest phishing threats, request a free demo today.

Phishing por e-mail é um tipo de scam em que os atacantes enviam e-mails falsos de domínios semelhantes para enganar os usuários e levá-los a clicar em links, baixar malware ou compartilhar dados pessoais.
O spear phishing tem como alvo pessoas específicas, usando dados pessoais como nome, profissão ou contatos para tornar o scam mais convincente.