420 views 6 mins

Ameaça silenciosa do phishing em redes sociais e mensagens

em Destaques
quinta-feira, 22 de maio de 2025

Marcelo Bezerra (*)

Nos últimos vinte anos nos acostumamos a associar o phishing com o correio eletrônico, mas silenciosamente essa associação está mudando. Os criminosos cibernéticos, sempre buscando novas formas para diversificar seus golpes, ampliaram os locais digitais onde podem aplicar o ataque.

Via de regra, o phishing se traduz como uma técnica para enganar a vítima por meio de uma mensagem, e surgiu como variação do golpe por telefone ou pessoalmente, também conhecida como Engenharia Social, e imortalizada por Kevin Mitinick. Como há duas décadas o único meio efetivo de efetuar o golpe era por correio eletrônico, acabamos por associar ambos, mas essa limitação não é mais realidade. A evolução das redes sociais e aplicativos de mensagem, e seu uso inclusive como ferramentas corporativas, permitiu aos atacantes essa diversificação. Mesmo o velho SMS passou a ser utilizado como vetor de ataque.

Um simples clique em um link perigoso em uma mensagem ou uma resposta por impulso pode ser o suficiente para que o atacante obtenha acesso ao computador e na sequência à rede da empresa, seja para controlar sistemas ou para obter informações confidenciais, pessoais ou de negócios, e dessa forma a mudança representa um sério problema para a cibersegurança e exige que novas formas de proteção sejam adotadas, e os usuários ensinados a reconhecer as novas táticas utilizadas pelos criminosos.

Cenário corporativo

O ambiente corporativo atual representa um grande desafio para a segurança, apesar dos inegáveis benefícios em termos de produtividade, flexibilidade e satisfação dos funcionários. Além dos dispositivos fornecidos pelas organizações, grande parte deles laptops que podem ser usados em qualquer lugar, há ainda a ainda crescente adoção de smartphones, tablets e laptops pessoais na modalidade do BYOD (Bring Your Own Device), com menos segurança e controle centralizado. Mas mesmo nos dispositivos corporativos, muitas organizações permitem a o acesso às redes sociais públicas, e atualmente praticamente todas adotam um sistema de colaboração interna. Criou-se, desta forma, uma superfície de ataque expandida que não pode ser ignorada.

Tal superfície se manifesta de diversas formas: dispositivos móveis podem ser perdidos ou roubados, comprometendo informações sensíveis armazenadas neles; redes Wi-Fi públicas e não seguras, frequentemente utilizadas por funcionários em trânsito, podem ser interceptadas por hackers, expondo dados de login e outras informações confidenciais; aplicativos maliciosos, baixados inadvertidamente pelos usuários, podem comprometer a segurança do dispositivo e da rede corporativa; e os funcionários podem interagir com mensagens maliciosas de redes sociais contendo links para malware (software criado para causar danos ou roubar informações de redes, dispositivos ou usuários) ou para o roubo de credenciais.

Essas formas de phishing usadas nessas plataformas, além do correio eletrônico, exploram a maneira que as pessoas pensam e sentem. Para enganar as vítimas, criminosos virtuais usam promessas tentadoras como heranças, ofertas de emprego incríveis ou avisos alarmantes sobre o banco. Tudo isso é feito com apelo às emoções, criando uma sensação de urgência e abusando da confiança das pessoas.Um fator de risco adicional é adoção da IA Generativa pelos grupos criminosos, o que vem aperfeiçoando cada vez as mensagens, tanto do ponto de vista gramatical como cultural.

Para identificar essas ameaças, é fundamental ter atenção redobrada e senso crítico. Desconfiar de mensagens com erros de gramática ou ortografia, pedidos de informações pessoais ou financeiras e links que parecem estranhos são algumas dicas que podem evitar que você seja enganado. Sempre confirme se a mensagem é verdadeira antes de clicar em qualquer link ou dar qualquer informação. A precaução e a desconfiança são as melhores formas de se proteger. Diante da evolução e adaptação do phishing, é essencial que os usuários compreendam seu funcionamento e sejam capacitados a reconhecer os sinais de alerta. De acordo com o relatório State of the Pish 2024, da Proofpoint, os profissionais de segurança brasileiros acreditam que mais treinamento (93%) e controles mais rígidos (82%) são a resposta para ter mais segurança. Simular ataques de phishing é uma boa forma de ensinar as pessoas a identificar e responder a tentativas de fraude, reforçando o que aprenderam e incentivando uma cultura de segurança. Ao adotar uma postura proativa e investir em segurança cibernética, as empresas podem mitigar os riscos associados à mobilidade e aproveitar os benefícios da tecnologia sem comprometer a segurança de seus dados e sistemas.

(*) Líder em engenharia de cibersegurança da Proofpoint na América Latina.