Fatos Relevantes McAfee Security

Práticas recomendadas de combate a ataques de phishing

Quando você já pensava que era seguro mergulhar nas águas do comércio eletrônico de hoje, o phishing surgiu como um dos golpes mais perigosos do mundo.

O phishing implica a distribuição de e-mails com endereços de resposta, links, e aparência que fazem os emails parecerem legítimos, como se tivessem sido criados pelas instituições financeiras para os seus clientes.

Infelizmente, o único objetivo desses e-mails é induzir destinatários desatentos a divulgar informações de contas pessoais, cartões de crédito, e outras informações confidenciais. Assim que o consumidor fornece essas informações, os golpistas ficam livres para cometer roubos de identidade e realizar transações fraudulentas utilizando as informações roubadas.

Os golpistas também furtam informações confidenciais dos clientes ao induzi-los a visitar um site de phishing, além de instalar spywares nos computadores dos clientes para que as informações possam ser roubadas quando a pessoa visita um site legítimo.

Um criminoso que não faz distinção

Hoje em dia, ninguém está a salvo das más intenções dos golpistas. Clientes de grandes empresas, instituições financeiras, agentes de seguros, empresas de cartões de crédito e financeiras são vítimas das distribuições de phishing.

O alvo dos golpistas são empresas famosas, pois a maioria dos e-mails é distribuída aleatoriamente. Normalmente, as organizações mais tradicionais possuem um número maior de clientes, o que aumenta as chances de que um e-mail fraudulento seja recebido por um cliente da organização visada.

Na verdade, os emails fraudulentos que afirmam ser da The Federal Deposit Insurance Corp. e da American Bankers Association entram em caixas de e-mail de todo o mundo. Até mesmo o FBI pode ser incluído entre as “baixas” do phishing.

A ameaça do phishing não apresenta nenhum sinal de desaceleração. Como foi relatado pelo Grupo de Trabalho Anti-Phishing, uma associação profissional que combate o roubo de identidades e as fraudes, 176 novos ataques diferentes de phishing foram denunciados em janeiro de 2004, o que equivale a 5,7 novos ataques por dia. Em junho de 2004, esse número saltou para 1.422 ataques de phishing diferentes denunciados.

Analistas estimam que até 5% das solicitações feitas em e-mails fraudulentos realmente conseguem obter os dados confidenciais dos destinatários. Mas os consumidores não são os únicos incomodados pelas ameaças de phishing. Um dos 20 maiores bancos dos EUA recentemente recebeu cerca de 90 mil ligações por hora após um ataque de phishing em fevereiro, que paralisou suas atividades por cinco horas.

Além disso, as empresas vítimas de ataques de phishing correm o risco de perder a confiança dos seus clientes pela Internet. Por exemplo, se um banco for atacado por um golpista, seus clientes muito provavelmente deixarão de realizar transações bancárias pela Internet.

Não morda a isca

Hoje em dia, os golpistas estão recorrendo a táticas cada vez mais sofisticadas, tais como usar janelas instantâneas e símbolos falsos de cadeados para enganar visitantes incautos. Entretanto, há maneiras de evitar as iscas do phishing. A McAfee recomenda que as empresas criem – e divulguem com freqüência – suas políticas de segurança corporativa em relação ao conteúdo dos emails para que os e-mails legítimos não possam ser confundidos com o phishing.

Essa política requer que uma empresa nunca solicite a seus clientes para preencherem qualquer formulário incorporado a um email. Dessa forma, se um cliente receber um email contendo um formulário, a mensagem poderá ser identificada imediatamente como um ataque de phishing.

Além disso, as empresas devem sempre colocar à disposição uma maneira para que os consumidores identificarem se um email é legítimo, e não de um golpista. Para isso, as empresas devem estabelecer uma política de incorporação de informações de autenticação em todos os emails enviados aos seus clientes.

Por exemplo, algumas empresas pedem que seus clientes escolham um gráfico personalizado para incorporá-lo a um email, dificultando para os golpistas a simulação de mensagens de e-mail da empresa.

As empresas também devem evitar incluir links que possam ser clicados em emails codificados em HTML. E como os golpistas dependem da coleta de senhas, as empresas também devem evitar pedir aos seus clientes que digitem informações confidenciais para efetuar o login em um site. Na verdade, cartões inteligentes e outros elementos de autenticação constituem métodos muito mais sofisticados de autenticação que senhas e números de documentos.

Também é aconselhável que os clientes configurem a segurança dos seus navegadores no nível mais alto possível, e para exibir alertas de HTTP, para que saibam se estão ou não visitando um site seguro.

Os golpistas podem ser impedidos no meio do caminho se as empresas monitorarem ativamente a Internet em busca de possíveis sites de phishing, que muitas vezes surgem antes do lançamento dos e-mails de phishing.

E finalmente, sempre é aconselhável que as empresas implementem soluções de alta qualidade para o gerenciamento da proteção do seu conteúdo – ferramentas que, muitas vezes, as empresas oferecem aos seus clientes como serviços de negócios. Por exemplo, a McAfee oferece soluções anti-spam capazes de identificar os golpes no gateway, soluções antivírus para desktops que identificam programas de captura de digitação, e ferramentas de proteção contra invasões para hospedagem de sites. Instalando esse tipo de proteção, você pode ter certeza de que todo o seu tráfego de entrada e saída de mensagens estará seguro, antes que qualquer conteúdo indesejável consiga infectar a sua rede ou afetar seus usuários.