A perspetiva da Cyber Academy
Phishing é o ataque de engenharia social que engana um utilizador levando-o a clicar numa ligação maliciosa, abrir um ficheiro malicioso ou revelar credenciais. Variantes: spear phishing (dirigido), whaling (executivos), smishing (SMS), vishing (voz), BEC (comprometimento de email empresarial). A formação é importante; o MFA resistente a phishing é ainda mais importante.
Por que o phishing continua a ser o principal ponto de entrada
O phishing perdura porque ataca a pessoa, não o perímetro. Todos os outros controlos podem estar perfeitamente configurados e o atacante continua a precisar apenas de um colaborador que clique num link, abra um ficheiro ou digite uma palavra-passe numa falsificação convincente. A mensagem chega por um canal de confiança, normalmente o e-mail, mas cada vez mais o SMS e a voz, e adota a aparência e o tom de uma marca, de um colega ou de um sistema interno do qual a vítima já espera receber notícias.
Como o conteúdo malicioso reside frequentemente por trás de um domínio recém-registado ou de uma página de início de sessão na nuvem com aspeto legítimo, os filtros baseados em assinaturas e as listas de reputação chegam muitas vezes demasiado tarde. A economia também favorece o atacante: um único modelo pode ser difundido para milhares de destinatários a um custo quase nulo, e um único sucesso pode entregar credenciais que desbloqueiam tudo o resto.
O que os profissionais observam é a passagem do volume para a precisão. O phishing em massa é uma rede ampla, mas os incidentes dispendiosos costumam começar com uma mensagem feita à medida que claramente fez o trabalho de casa sobre o alvo, o organograma e o momento.
As variantes que importam na prática
O phishing é uma família, não uma única técnica. A lógica da engenharia social mantém-se constante enquanto o canal e o alvo mudam.
- Spear phishing: uma mensagem dirigida elaborada para uma pessoa ou equipa específica, usando nomes, projetos e contexto reais para reduzir a suspeita.
- Whaling: spear phishing dirigido a executivos e outros aprovadores de alto valor, em que uma única conta comprometida carrega uma autoridade desproporcionada.
- Smishing: phishing entregue por SMS, frequentemente um falso aviso de entrega, de banco ou de reposição de MFA que explora o ecrã mais pequeno e o hábito de confiar nas mensagens de texto.
- Vishing: phishing por chamada de voz, em que um atacante pressiona a vítima em tempo real, cada vez mais auxiliado por números falsificados e áudio sintético.
- Business email compromise: um subtipo de pretexting que visa diretamente os processos de pagamento e de dados, normalmente sem qualquer link ou anexo malicioso.
O que realmente reduz o risco
A formação de sensibilização é necessária, mas não suficiente. As pessoas vão sempre clicar numa certa proporção das vezes, pelo que o objetivo é remover o valor de um clique em vez de exigir perfeição aos utilizadores. O controlo técnico decisivo é a autenticação multifator resistente ao phishing, ou seja, fatores ligados ao domínio legítimo, como as chaves de segurança FIDO2 ou as passkeys, que uma página de início de sessão falsa não consegue reproduzir. Por trás disso situam-se, em camadas, os controlos que apanham o que escapa.
- MFA resistente ao phishing em cada conta que importa, para que uma palavra-passe roubada, por si só, não baste para iniciar sessão.
- Autenticação do e-mail com SPF, DKIM e DMARC para aumentar o custo da falsificação de domínio, combinada com um gateway de e-mail seguro e a reescrita de links ou o sandboxing.
- Formação de sensibilização contínua e baseada em cenários, mais phishing simulado, medida para melhorar ao longo do tempo em vez de punir indivíduos.
- Um botão de reporte sem fricção e um processo de resposta rápido, porque as pessoas que reportam são o sistema de alerta precoce para aquelas que clicaram.
Onde o phishing se enquadra nas normas e na regulamentação
O phishing situa-se plenamente no âmbito de um sistema de gestão de segurança da informação. Sob um SGSI ISO/IEC 27001, o tratamento pertinente combina formação de sensibilização, controlo de acesso e os controlos técnicos de e-mail e de autenticação, todos selecionados através da avaliação de risco em vez de acrescentados por reflexo. As orientações europeias da ENISA e de autoridades nacionais como a ANSSI classificam sistematicamente o phishing entre as principais técnicas de acesso inicial e publicam contramedidas práticas.
Quando um phishing bem-sucedido expõe dados pessoais, por exemplo através de uma caixa de correio comprometida, pode também desencadear obrigações de violação de dados pessoais ao abrigo do GDPR, o que significa que o jurídico e a função de proteção de dados pertencem ao plano de resposta, a par da TI e da segurança.
Para os profissionais, a lição é que a defesa contra o phishing é em camadas e partilhada. Nenhuma ferramenta ou campanha de sensibilização a fecha sozinha. A postura duradoura combina pessoas, processos e desenho da autenticação, de modo que um clique, que acabará por acontecer, não se torne uma violação.
Frequently asked questions
01Qual é a diferença entre phishing e spear phishing?
O phishing é a categoria ampla de mensagens de engenharia social difundidas em larga escala para recolher cliques ou credenciais. O spear phishing é uma variante dirigida elaborada para uma pessoa ou equipa específica, usando nomes, projetos e contexto reais para reduzir a suspeita e aumentar a taxa de sucesso.
02A autenticação multifator detém o phishing?
A MFA comum ajuda, mas pode ser alvo de phishing ou retransmitida em tempo real. A MFA resistente ao phishing, como as chaves de segurança FIDO2 ou as passkeys ligadas ao domínio legítimo, é o que derrota de forma fiável o phishing de credenciais, porque uma página de início de sessão falsa não consegue reproduzir o fator.
03A formação de sensibilização é suficiente para prevenir o phishing?
Não. A formação baixa a taxa de cliques, mas nunca a elimina, pelo que deve ser combinada com controlos técnicos. O objetivo é remover o valor de um clique através da MFA resistente ao phishing, da autenticação do e-mail e do reporte rápido, e não exigir uma firewall humana perfeita.
04O que são o smishing e o vishing?
O smishing é phishing entregue por SMS, frequentemente um falso aviso de entrega, de banco ou de reposição de MFA. O vishing é phishing por chamada de voz, em que um atacante aplica pressão em tempo real, cada vez mais auxiliado por identificadores de chamador falsificados e áudio sintético.
05Um incidente de phishing pode ser uma violação de dados sujeita a notificação?
Sim. Se um phishing bem-sucedido expuser dados pessoais, por exemplo através de uma caixa de correio comprometida, pode desencadear obrigações de violação de dados pessoais ao abrigo do GDPR. O plano de resposta deve envolver o jurídico e a função de proteção de dados a par da TI e da segurança.