Phishing e engenharia social: como proteger a empresa

Como funciona phishing: a técnica social

Atacante cria email falso que parece de banco/fornecedor/seu colega/seu chefe. Email pede ação urgente: "confirme sua senha em 1 hora", "clique neste link para aprovar pagamento", "abra anexo com dados de cliente". Vítima faz, cai na armadilha.

Resultado depende do objetivo: (1) roubar credencial (senha ou token), (2) instalarmã malware (ransomware, backdoor), (3) enganar (fake invoice, fake order), (4) criar acesso persistente para exploração futura.

Sinais visuais para reconhecer phishing:

• Email address falso: olhar com cuidado. "amaz0n.com" (zero) vs "amazon.com" (letra O). "google-security.com" vs "security.google.com". Atacante cria domínio similar, espera que você não repare.
• Falta de assinatura ou assinatura genérica ("Equipe de Suporte" em vez de nome real)
• Escrita com erros de português/inglês (indicador clássico, mas sofisticados não fazem mais)
• Senso de urgência artificial: "seu acesso será bloqueado em 2 horas", "confirme dados agora ou perca conta"
• Link para URL suspeita: passe mouse sobre link antes de clicar — veja URL real (não o texto que aparece)
• Pede informação que a empresa nunca pediria: senha, CPF, dados de cartão por email
• Design meio estranho ou logo de má qualidade (grandes empresas fazem design impecável)

Teste educativo: Qual é URL real? Passe mouse: href="http://195.154.25.118/amazon/". Vê? Não é Amazon, é IP estranho. É phishing.

Phishing dirigido (spear phishing): o sofisticado

Email falso que parece do seu chefe ("CEO aqui. Pode fazer uma transferência de R$ 50k para esse fornecedor? Urgente, não fale com ninguém, não deixe rastro de email"). Ou do cliente ("Vocês nos devem R$ 100k. Enviem para essa conta agora ou cancelamos contrato").

Por que é difícil reconhecer? Porque atacante pesquisou: sabe nome do seu chefe, sabe que você tem relação com cliente, sabe que tem fornecedor recente. Usa contexto real. Assinatura parece legítima.

Defesa contra spear phishing: Sempre confirmar em canal separado se dúvida. "Chefe pediu transferência por email?" Liga para chefe: "Fui eu que pedi?" Resposta errada = é phishing. Email é assinado pelo cliente?" Entra em contato com cliente por telefone confirmado (não número que aparece no email).

Custo baixo: 2 minutos de ligação. Risco alto de não confirmar: transferência de 50k para banco fraudulento.

Tipos de phishing além de email

SMS phishing (smishing): "Conta bloqueada. Clique aqui para desbloquear." Link vai para site fake que rouba senha.

Telefone phishing (vishing): Ligação falsa: "Aqui é suporte do banco. Confirme sua senha por favor." Ninguém legítimo pede senha por telefone.

Falsa login page: Email com link para "confirmar dados". Link leva a site que parece banco/Salesforce/Gmail, você digita senha, site falso captura e usa.

Phishing por QR code: Email ou panfleto com QR code. Você escaneia, vai para site malicioso.

MFA: o controle mais importante

MFA = Autenticação Multifator = 2+ formas de provar identidade. Exemplo: senha + código de telefone. Ou: senha + chave de segurança física.

Por que protege contra phishing: Mesmo que atacante roubar sua senha (você clicar em phishing, digitar no site falso), ele não consegue acessar conta sem segundo fator. Código de telefone é enviado só pra você, chave de segurança só você tem.

Custo: Grátis (código de SMS) a R$ 50-100/pessoa/ano (chave de segurança física, mais segura). Se MFA custar R$ 50/ano e ransom é R$ 50.000, é investimento óbvio.

Onde ativar: Email corporativo (Gmail workspace, Microsoft 365), Slack, ERP, CRM, banco. Qualquer sistema que guarda dados ou autoriza transação.

Desafio real: Usuário acha MFA "inconveniente" (recebe código, digita, demora 10 segundos). Mentalidade precisa mudar: "segurança > conveniência".

Email security: proteção técnica com SPF/DKIM/DMARC

SPF/DKIM/DMARC são protocolos que impedem spoofing (falsificar que email veio de você).

Como funciona: Atacante quer enviar email que PARECE de seudomínio (@seuemail.com.br). Sem proteção, consegue. Com SPF/DKIM/DMARC, email é rejeitado ou marcado como suspeito.

Setup: Você configura no DNS da sua empresa (é técnico, mas fornecedor de email pode fazer). Uma vez feito, funciona automaticamente.

Resultado: Reduz phishing dirigido a sua empresa. Não elimina (atacante pode enviar de domínio parecido ou de provedor comprometido), mas reduz.

Simulação de phishing: treinar antes do ataque real

Ferramenta (PhishER, KnowBe4, Proofpoint) envia email de phishing fake ao seu time. Parece phishing real mas é controlado.

Quem clica em link/abre anexo: recebe notificação que caiu, acesso a treinamento automático (5-10 minutos sobre como reconhecer).

Resultado: Taxa de clique cai de 30-40% (sem treinamento) para 3-5% (com treinamento regular).^[2]

Frequência: Solo/pequena: 1x ao trimestre. Média: 1x ao mês.

Tom importante: Não culpe quem cai. Use como oportunidade de aprender. Ambiente onde é OK "cair na simulação e aprender" resulta em melhor comportamento do que ambiente de punição.

Resposta imediata se funcionário caiu

Passo 1 (minuto 0-10): Isolar máquina (desconectar da rede) se malware foi instalado. Mudar senha daquele usuário em máquina limpa.

Passo 2 (minuto 10-30): Investigar: que aconteceu? Qual é o link que clicou? Que dados o atacante pode ter acessado?

Passo 3 (hora 1): Avisar TI/segurança. Ativar monitoramento de conta (anormal activity). Se email foi comprometido, verificar se atacante enviou phishing para contatos (listar email de funcionário, cliente, fornecedor).

Passo 4 (hora 2-24): Se vazamento de dados, reportar à ANPD e cliente (ver artigo "O que fazer em caso de incidente de segurança").