A resposta é sim, mas… os utilizadores individuais continuam a ser a porta de entrada para muitas das fraudes online consumadas com recurso a esta técnica, sobretudo em Portugal. A chave está na literacia e nos testes contínuos.
Na complexa teia de ataques online que diariamente são perpetrados em todo o mundo, o phishing está entre as práticas que mais danos podem causar aos utilizadores e às organizações. Esses danos podem mesmo assumir contornos mais penalizadores para os visados, caso os alvos principais sejam entidades financeiras e os respetivos clientes – empresas ou particulares.
Quando executados neste contexto, os ataques de phishing pretendem tirar partido de falhas no comportamento humano para garantir aos criminosos a obtenção de credenciais de acesso a contas bancárias. A partir daí os hackers conseguem executar várias operações nessas contas, incluindo transferir dinheiro de forma ilegal.
A prática de phishing afeta todo o tipo de empresas um pouco por todo o mundo, mas Portugal e o setor financeiro representam duas das variáveis mais visadas pelos cibercriminosos nos últimos meses.
Phishing em 2020
Os dois países no mundo que mais ataques de phishing sofreram durante o ano passado falam português. De acordo com o relatório Spam and phishing in 2020, apresentado pela Kaspersky em fevereiro, durante esse período Portugal registou o segundo maior número de tentativas de abertura de sites de phishing, que representaram 19,73% de todos os ataques sofridos pelos utilizadores. Apenas o Brasil registou uma percentagem maior de ataques deste tipo durante o mesmo período - 19,94%.
Apesar destes números representarem descidas face aos incidentes de phishing detetados em 2019 em ambos os países, a verdade é que refletem uma aposta consistente e contínua neste tipo de crime por parte dos cibercriminosos.
Quanto ao tipo de entidades mais visadas por este tipo de ataques durante 2020, a banca ocupa o terceiro lugar, com 10,72% de todos os ataques, embora estes valores disparem para mais de 20% quando reunidas outras entidades ligadas ao setor financeiro, incluindo operadores de sistemas de pagamento.
Tipos de phishing
A concretização dos ataques de phishing tem também mudado ao sabor das novas formas que os hackers encontram para ultrapassarem as defesas que vão encontrando.
Hoje os cibercriminosos fazem estes ataques de forma mais direcionada e precisa contra um determinado alvo, de forma a não dispersar os seus recursos e aumentar a probabilidade de sucesso.
Por outro lado, a prática de phishing – normalmente associada ao envio de emails como “isco” para levar os utilizadores a fornecer as suas credenciais – assume agora variantes que usam diferentes veículos de contacto: é o caso do vishing, que utiliza a voz para induzir em erro o comportamento humano; e o caso do smishing, que é perpetrado através de SMS para levar o utilizador a tomar uma qualquer ação que venha a permitir a concretização de uma fraude.
Sensibilização e monitorização
As instituições financeiras serão das mais bem preparadas para enfrentar ciberataques, no sentido em que a própria regulamentação oficial obriga a que estejam normalmente um passo à frente de outro tipo de instituições. Por isso mesmo, demonstram cada vez mais atenção a este tipo de ataques, quer a nível da sensibilização interna dos seus colaboradores e dos seus clientes, quer ao nível da monitorização dos sistemas.
No contexto deste tipo de fraudes o que falha normalmente são as pessoas; mas há casos em que as pessoas falham porque o processo está mal desenhado – e mesmo a tecnologia pode, por vezes, comprometer todo o processo de segurança.
A chave para enfrentar os ataques de phishing passa assim por duas vias distintas, que se complementam.
A formação e sensibilização dos utilizadores é uma dessas vias. Dado que o phishing continua a ter na sua base técnicas de engenharia social, é imperativo que os utilizadores dos serviços bancários online e os colaboradores das respetivas instituições estejam sensibilizados para os tipos de atuação dos hackers, bem como para as formas de os identificar e prevenir.
A segunda via passa pela monitorização permanente das infraestruturas e aplicações - monitorizando por exemplo a existência de páginas falsas que simulem os sites dos bancos, ou de endereços que possam potencialmente induzir em erro os utilizadores.
Em muitos casos estes procedimentos fazem já parte dos tópicos de segurança do IT nessas instituições, mas nem sempre a atuação é permanente e feita por um provider especializado – requisitos que aumentam significativamente a probabilidade de a proteção ser feita com sucesso.
