Phishing: O que Consegue Enganar os Usuários e os Erros que os Trapaceiros Cometem

phishing tricks crooks
Muito especialistas continuam a professar que, quando se trata de segurança cibernética, "os humanos são o elo mais fraco". Você poderia argumentar que há um pouco mais do que isso, mas, em grande parte, a afirmação é verdadeira. Frequentemente, até mesmo ataques de phishing sofisticados e bem preparados falham miseravelmente porque os usuários conseguem manter os dedos longe do botão do mouse.


O problema é que treinar pessoas para evitar a abertura de links e arquivos que chegam por e-mail é mais difícil do que parece. Na verdade, existem empresas como a KnowBe4 que se especializam em fazer exatamente isso. Para melhorar os seus programas de treinamento, o KnowBe4 tem tentado descobrir quais assuntos de e-mail de phishing enganam o maior número de vítimas, e eles estão acompanhando os dados há algum tempo. Na semana passada, eles publicaram as estatísticas para o terceiro trimestre de 2018.

As táticas dos phishers e os pontos fracos dos usuários

O KnowBe4 fez duas listas: uma para os assuntos de e-mail mais comumente clicados durante as simulações de phishing, e a outra para os assuntos de e-mail de phishing mais comumente denunciados.

Veja o que mais enganou os usuários durante os programas de treinamento sobre o phishing:

  1. Verificação de senha exigida imediatamente
  2. Você tem um novo correio de voz
  3. Seu pedido está a caminho
  4. Mudança de Senha Requerida Imediatamente
  5. Desativação do [[email]] no processo
  6. Entrega de etiquetas UPS 1ZBE312TNY00015011
  7. Política de Férias e de Tempo de Ausência por Doença  Revisadas
  8. Você recebeu um documento para assinatura
  9. Notificação de spam: 1 novas mensagem

Aqui estão os assuntos dos e-mails que foram relatados como phishing pelos clientes do KnowBe4:

  1. Você tem uma nova mensagem criptografada
  2. TI: Erro de sincronização - mensagens recebidas retornadas
  3. RH: informações de contato
  4. FedEx: Desculpe, não o encontramos.
  5. Microsoft: várias tentativas de login
  6. IT: IMPORTANTE - BACKUP DE NOVO SERVIDOR
  7. Wells Fargo: atividades irregulares detectadas no seu cartão de crédito
  8. LinkedIn: sua conta está em risco!
  9. Microsoft/Office 365: [Lembrete]: sua mensagem segura
  10. Coinbase: Sua carteira de moedas digitais: configurações de dois fatores alteradas

Ter essas duas listas separadas nos dá uma visão muito melhor da gravidade da situação. A primeira coleção de assuntos nos diz precisamente que tipo de engenharia social tende a ser eficaz durante um ataque em potencial. A segunda lista nos dá o outro lado da moeda proverbial. Ela mostra ataques reais que foram capturados pelos usuários.

Urgência e ameaças à segurança ainda funcionam

Durante o terceiro trimestre, os usuários pareceram mais dispostos a clicar nas mensagens "Confirmação de senha solicitada imediatamente". Olhando para os relatórios mais antigos, podemos ver que esse assunto em particular esteve nos 10 Mais Importantes por algum tempo, e a sua classificação tem melhorado constantemente, o que provavelmente tem algo a ver com o fato de que estamos vendo cada vez mais incidentes envolvendo problemas de comprometimento de senhas.

Mais abaixo, você tem um assunto similar, "Mudança de Senha Requerida Imediatamente", que mostra que, se você enganar os usuários para que eles pensem que estão protegendo os seus dados, é mais provável que eles os exponham. Deixando de lado a ironia, ao combinar um senso de urgência e uma promessa de sérios problemas de segurança, se você não agir, os bandidos podem criar uma poderosa arma de engenharia social. Os efeitos são amplificados pelo fato de que, quando uma organização fica comprometida, terá poucas outras alternativas a não ser pedir aos seus usuários que alterem as suas senhas.

O problema é que as organizações responsáveis ​​que seguem as melhores práticas de segurança não enviam e-mails com links para formulários de login. Alguns fazem isso, mas só porque você tem o link na sua caixa de entrada não significa que você precisa clicar nele. Se você acha que o email é original, é melhor abrir uma nova guia, acessar o site afetado, fazer o login e navegar até a seção de redefinição de senha manualmente. E se você não tiver certeza sobre nada, tente usar os canais de comunicação listados no site oficial para entrar em contato com o fornecedor. Se o email for realmente uma fraude, a sua vigilância pode acabar salvando outras pessoas.

O resto dos assuntos da primeira lista não tem o mesmo elemento de destruição iminente, mas eles ainda estão incentivando os usuários a fazer algo com pressa ou provocando a sua curiosidade. Obviamente, isso nem sempre funciona.

Os Fraudadores também cometem erros

Em teoria, as entradas da segunda lista têm mais ou menos as mesmas características quando comparadas com as da primeira, mas os usuários conseguiram identificar que algo estava errado e denunciaram isso nos departamentos de TI dos seus empregadores. Em alguns casos, não é difícil perceber o porquê.

Se o seu cartão de crédito foi emitido pelo Chase, por exemplo, é improvável que você receba uma mensagem dizendo "Wells Fargo: atividades irregulares detectadas no seu cartão de crédito". Em outros casos, só podemos supor que os ataques de phishing não foram muito bem executados.

Independentemente disso, o fato de que mais e mais usuários parecem conseguir separar pelo menos parte do joio do trigo é uma boa notícia. No entanto, ainda estamos muito longe de estar preparados para afastar todos os ataques de phishing. Na verdade, as chances são de que nunca estaremos, por isso é importante levar tudo o que você vê na Internet, incluindo o conteúdo da sua caixa de entrada, com uma grande pitada de sal.

Por Duran
November 14, 2018
News
Portuguese
November 14, 2018
News

Postagens Populares

Microsoft alerta que atores de ameaças apoiados pelo Estado...

4 days atrás

Detecção de Malware Trojan Al11

11 months atrás

Pinaview é um aplicativo de adware completo

10 months atrás

Pop-ups "Seu iCloud está sendo invadido" e "Seu iPhone foi...

7 months atrás

O que é Lucky Ransomware?

7 months atrás

Golpe de e-mail 'American Express - Atualize as informações da...

6 months atrás
Portuguese
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Página Inicial

Produtos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Suporte

Arquivos de Ajuda PFs Downloads Perguntas e Suporte

Empresa

Sobre Nos Contate-Nos Denuncie Abuso

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de Privacidade Política dos Cookies Special Discount Offer Terms Additional Terms & Conditions CLUF do SpyHunter CLUF do RegHunter Política de Privacidade e Política de Cookies do EnigmaSoft Política de Privacidade e Política de Cookies do ESG Termos da Oferta de Desconto do EnigmaSoft Termos da Oferta de Desconto do ESG

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows é uma marca comercial da Microsoft, registrada nos Estados Unidos e em outros países.
Mac, iPhone, iPad e App Store são marcas comerciais da Apple Inc., registradas nos Estados Unidos e em outros países.
iOS é uma marca registrada da Cisco Systems, Inc. e/ou de suas afiliadas nos Estados Unidos e em alguns outros países.
Android e Google Play são marcas comerciais da Google LLC.